Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

22/06/2017

Es publiquen noves versions d'Apatxe HTTP Server

Les noves versions publicades corregeixen cinc vulnerabilitats qualificades com a importants que podien provocar entre altres coses condicions de denegació de serveis.

Les noves versions corregeixen tres problemes, el primer residia en l’ús de "ap_get_basic_auth_pw()" per mòduls de terceres parts fora de la fase d’autenticació.

El segon dels problemes provocava situacions de denegació de servei per desreferència de punter nul en mod_ssl durant una petició HTTP a un port HTTPS. A més de dos sobrelectures de búfer en ap_find_token() i mod_mime.

El tercer problema provocava una situació de denegació de servei per desreferència del punter nul en mod_http2 a través de peticions http/2 malicioses, aquest problema només afectava Apache 2.4.25.

Podeu trobar el detall de la notícia en l’enllaç següent.

Sistemes Afectats:

Versions anteriors d’Apache 2.4.26 i 2.2.33

Referències:

CVE-2017-3167, CVE-2017-3169,CVE-2017-7668, CVE-2017-7679, CVE-2017-7659

Solució:

Actualitzar a les noves versions:

https://httpd.apache.org/download.cgi

Per a la versió versió 2.2.33 , s'han publicat actualitzacions individuals per a cada una de les vulnerabilitats:

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3167.patch
https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3169.patch
https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-7668.patch
https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-7679.patch

 

Notes:

Més informació:

Apache httpd 2.4.26 Released 2017-06-19¶
http://www.apache.org/dist/httpd/Announcement2.4.html
Fixed in Apache httpd 2.2.33-dev
https://httpd.apache.org/security/vulnerabilities_22.html
Fixed in Apache httpd 2.4.26
https://httpd.apache.org/security/vulnerabilities_24.html
Changes with Apache 2.4.26
http://mirror.vorboss.net/apache//httpd/CHANGES_2.4.26
CVE-2017-3167: Apache httpd 2.x ap_get_basic_auth_pw authentication bypass
http://seclists.org/oss-sec/2017/q2/512
CVE-2017-3169: Apache httpd 2.x mod_ssl null pointer dereference
http://seclists.org/oss-sec/2017/q2/511
CVE-2017-7668: Apache httpd 2.x ap_find_token buffer overread
http://seclists.org/oss-sec/2017/q2/510
CVE-2017-7679: Apache httpd 2.x mod_mime buffer overread
http://seclists.org/oss-sec/2017/q2/509
CVE-2017-7659: mod_http2 null pointer dereference
http://seclists.org/oss-sec/2017/q2/504

 

CSIRT-CV