Il 1 ° aprile 2019, il Apache progetto server HTTP ha emesso un Advisory sulla sicurezza che delinea le vulnerabilità che colpiscono Apache versione 2.4.38 del server http e versioni precedenti. Per consultare l'Advisory sulla sicurezza, vedere:
https://httpd.Apache.org/Security/vulnerabilities_24.html.
L'avviso di protezione del progetto Apache Server elenca i seguenti CVE:
- CVE-2019-0211
- CVE-2019-0217
- CVE-2019-0215
- CVE-2019-0197
- CVE-2019-0196
- CVE-2019-0220
Descrizione
- CVE-2019-0211
Con l'evento MPM, lavoratore o prefork, il codice che esegue in processi o thread figlio con privilegi minori (compresi gli script eseguiti da un interprete di scripting in-process) potrebbe eseguire codice arbitrario con i privilegi del processo padre (di solito root). Questa azione viene ottenuta manipolando il tabellone. I sistemi non UNIX non sono interessati.
- CVE-2019-0217
Una race condition in mod_auth_digest quando è in esecuzione in un server threaded potrebbe consentire a un utente con credenziali valide di autenticarsi utilizzando un altro nome utente, bypassando le limitazioni configurate per il controllo degli accessi.
- CVE-2019-0215
Un bug mod_ssl quando si utilizza la verifica del certificato client per posizione con TLSv 1.3 ha consentito a un client di supportare l'autenticazione post-handshake per ignorare le limitazioni configurate per il controllo degli accessi.
- CVE-2019-0197
Quando HTTP/2 è stato attivato per un http: host '' o H2Upgrade è stato attivato per H2 su un http: Host '', una richiesta di upgrade da' http/1.1 ' a' http/2 ' che non era la prima richiesta su una connessione potrebbe portare a una configurazione errata e crash. Un server che non ha mai attivato il protocollo H2 o che l'ha attivata solo per ' https: ' e non ha configurato il ' H2Upgrade on ' non è influenzato.
- CVE-2019-0196
Utilizzando l'input di rete sfocato, è possibile che la gestione delle richieste http/2 possa essere effettuata per accedere alla memoria liberata nel confronto delle stringhe quando si determina il metodo di una richiesta e quindi elaborare la richiesta in modo errato.
- CVE-2019-0220
Quando il componente percorso di un URL di richiesta contiene più barre consecutive ('/'), le direttive LocationMatch come e RewriteRule devono tenere conto dei duplicati nelle espressioni regolari. Mentre altri aspetti dell'elaborazione dei server li comportano in modo implicito.
Ricerca e conclusioni
Il team di progettazione ePO ha analizzato ogni CVE di seguito e ha concluso che ePO
non è interessato:
- CVE-2019-0211: ePO è Windows solo e questo CVE influisce solo sui sistemi UNIX.
- CVE-2019-0217: ePO non utilizza il modulo mod_auth_digest.
- CVE-2019-0215: ePO Apache non supporta ancora TLS 1.3 .
- CVE-2019-0197: ePO Apache non supporta ancora HTTP/2.
- CVE-2019-0196: ePO Apache non supporta ancora HTTP/2.
- CVE-2019-0220: ePO non utilizza la direttiva RewriteRule (il modulo di riscrittura non è nemmeno attivato) e non utilizza anche LocationMatch.
Articolo correlato:
KB82555. ePolicy Orchestral Sustaining Engineering Statement (SBC1407112)-ePO e moduli inclusi con il Apache Server http.