El 1 de abril de 2019, el proyecto del servidor HTTP de Apache publicó una notificación de seguridad que destaca las vulnerabilidades que afectan a Apache versión 2.4.38 del servidor http y versiones anteriores. Para revisar el aviso de seguridad, consulte:
https://httpd.apache.org/Security/vulnerabilities_24.html.
El aviso de seguridad del proyecto del servidor de Apache muestra los siguientes CVE:
- CVE-2019-0211
- CVE-2019-0217
- CVE-2019-0215
- CVE-2019-0197
- CVE-2019-0196
- CVE-2019-0220
Descripción
- CVE-2019-0211
Con el evento, el trabajador o la prebifurcación de MPM, el código ejecutado en procesos o subestados secundarios menos privilegiados (incluidas las secuencias de comandos ejecutadas por un intérprete de scripting en proceso) podría ejecutar código arbitrario con los privilegios del proceso principal (por lo general, raíz). Esta acción se consigue mediante la manipulación del panel de resultados. Los sistemas no UNIX no se ven afectados.
- CVE-2019-0217
Una condición de carrera en mod_auth_digest cuando se ejecuta en un servidor de subprocesos podría permitir a un usuario con credenciales válidas autenticarse con otro nombre de usuario y omitir las restricciones de control de acceso configuradas.
- CVE-2019-0215
Un error en mod_ssl al usar la verificación de certificado de cliente por ubicación con TLSv 1.3 permitió a un cliente que admite la autenticación posterior al Protocolo de enlace omitir las restricciones de control de acceso configuradas.
- CVE-2019-0197
Cuando se activaba HTTP/2 para un ' http: host ' o H2Upgrade se activaba para el H2 ' http: Host ', una solicitud de ampliación de ' http/1.1 ' a ' http/2 ' que no era la primera solicitud en una conexión podría acarrear un error de configuración y bloqueo. Un servidor que nunca estaba activado el protocolo H2 o que solo estaba activado para ' https: ' y que no configuraba el ' H2Upgrade on ' no se ve afectado.
- CVE-2019-0196
Mediante la entrada de red con datos aproximados, la administración de solicitudes HTTP/2 podría realizarse para acceder a la memoria liberada en la comparación de cadenas al determinar el método de una solicitud y, por lo tanto, procesar la solicitud de forma incorrecta.
- CVE-2019-0220
Cuando el componente de ruta de una URL de solicitud contiene varias barras diagonales consecutivas ('/'), las directivas LocationMatch como y RewriteRule deben tener en cuenta los duplicados de las expresiones regulares. Mientras que otros aspectos de los servidores que procesan implícitamente los contraigan.
Investigación y conclusiones
El equipo de ingeniería de ePO ha investigado cada uno de los CVE a continuación y ha concluido que ePO
no se ve afectado:
- CVE-2019-0211: ePO solo Windows y este CVE solo afecta a los sistemas UNIX.
- CVE-2019-0217: ePO no utiliza el módulo mod_auth_digest.
- CVE-2019-0215: ePO Apache no admite TLS 1.3 todavía.
- CVE-2019-0197: ePO Apache no admite HTTP/2 todavía.
- CVE-2019-0196: ePO Apache no admite HTTP/2 todavía.
- CVE-2019-0220: ePO no utiliza la Directiva RewriteRule (el módulo de reescritura ni siquiera está activado) y tampoco utiliza LocationMatch.
Artículo relacionado:
KB82555. EPolicy Orchestrator mantenimiento de la declaración de ingeniería (SBC1407112): ePO y los módulos incluidos con el servidor HTTP Apache.