Falla en el servidor HTTP de Apache permite a cualquier usuario obtener acceso

apache

La actualización de seguridad del servidor HTTP Apache corrige múltiples vulnerabilidades de seguridad, incluida la vulnerabilidad de escalada de privilegios que permite a los usuarios ejecutar PHP, script CGI para obtener el acceso de raíz.

La vulnerabilidad afecta a todos los lanzamientos entre 2.4.17 y 2.4.38, y puede ser rastreada como CVE-2019-0211. Un usuario con pocos privilegios podría ejecutar código arbitrario con los privilegios del proceso raíz manipulando el tablero de indicadores.

Afecta a los sistemas Unix y los sistemas que no son Unix no se ven afectados, lee el aviso de seguridad de Apache .

acceso mod_auth_digest

La vulnerabilidad afecta al servidor HTTP Apache entre 2.4 y 2.4.38, una condición de carrera en mod_auth_digest permite que cualquier usuario con credenciales válidas pueda autenticarse con otro nombre de usuario. La vulnerabilidad puede ser rastreada como CVE-2019-0217.

bypass de control de acceso mod_ssl

Un error en mod_ssl le permite a un cliente con TLS 1.3 admitir la autenticación posterior al reconocimiento para evitar las restricciones de control de acceso configuradas. El error afecta a las versiones 2.4.37 y 2.4.38 y la vulnerabilidad se puede rastrear como CVE-2019-0215.

mod_http2, posible bloqueo y lectura después de libre

Los servidores con H2Upgrade habilitado para h2 se ven afectados, si reciben la solicitud de http / 1.1 a http / 2, puede provocar una mala configuración y un fallo. El servidor que nunca habilitó el protocolo h2 no se ve afectado.

“La gestión de solicitudes http / 2 se podría hacer para acceder a la memoria liberada en la comparación de cadenas al determinar el método de una solicitud y, por lo tanto, procesar la solicitud de manera incorrecta”, la vulnerabilidad se puede rastrear como CVE-2019-0197 / CVE-2019-0196.

Httpd normalización de URL

Si la URL de la ruta contiene varias barras diagonales, como LocationMatch y RewriteRule en expresiones regulares, el servidor podría colapsarse.

La vulnerabilidad afecta a las versiones entre 2.4.0 y 2.4.38 y puede rastrearse como CVE-2019-0220.

Fecha actualización el 2021-04-03. Fecha publicación el 2019-04-03. Categoría: apache Autor: Oscar olg Mapa del sitio Fuente: gbhackers Version movil