Em 1º de abril de 2019, o projeto de servidor HTTP do Apache emitiu um comunicado de segurança que descreve as vulnerabilidades que afetam Apache versão 2.4.38 do servidor http e versões anteriores. Para revisar o comunicado de segurança, consulte:
https://httpd.Apache.org/Security/vulnerabilities_24.html.
O aviso de segurança do projeto do Apache Server lista os seguintes CVEs:
- CVE-2019-0211
- CVE-2019-0217
- CVE-2019-0215
- CVE-2019-0197
- CVE-2019-0196
- CVE-2019-0220
Descrição
- CVE-2019-0211
Com o evento, o trabalho ou a prebifurcação do MPM, o código em execução em processos filho menos privilegiados ou em threads (incluindo scripts executados por um interpretador de scripts em processo) poderia executar código arbitrário com os privilégios do processo pai (geralmente raiz). Essa ação é realizada através da manipulação do scoreboard. Os sistemas que não são UNIX não são afetados.
- CVE-2019-0217
Uma condição de corrida no mod_auth_digest ao ser executada em um servidor segmentado pode permitir que um usuário com credenciais válidas se autentique usando outro nome de usuário, ignorando restrições de controle de acesso configuradas.
- CVE-2019-0215
Um bug no mod_ssl ao usar a verificação de certificado de cliente por local com o TLSv 1.3 permitia que um cliente suporte a autenticação após o handshake ignore as restrições de controle de acesso configuradas.
- CVE-2019-0197
Quando HTTP/2 foi ativado para um ' http: host ' ou H2Upgrade foi ativado para H2 em um ' http: Host ', uma solicitação de upgrade de ' http/1.1 ' para ' http/2 ' que não foi a primeira solicitação em uma conexão pode levar a uma configuração incorreta e falha. Um servidor que nunca ativou o protocolo H2 ou que o ativou apenas para ' https: ' e não configurou o ' H2Upgrade on ' não é afetado.
- CVE-2019-0196
Usando a entrada de rede difusa, a manipulação de solicitação HTTP/2 pode ser feita para acessar a memória liberada na comparação de cadeias ao determinar o método de uma solicitação e, portanto, processar a solicitação incorretamente.
- CVE-2019-0220
Quando o componente de caminho de um URL de solicitação contém várias barras ('/') consecutivas, as LocationMatch diretivas, como e RewriteRule devem ser de duplicatas em expressões regulares. Enquanto outros aspectos dos servidores que processam implicitamente os recolhem.
Pesquisa e conclusões
A equipe de engenharia do ePO fez uma pesquisa em cada um dos CVEs abaixo e concluiu que o ePO
não foi afetado:
- CVE-2019-0211: o ePO é Windows somente e esse CVE afeta apenas os sistemas UNIX.
- CVE-2019-0217: o ePO não usa o módulo mod_auth_digest.
- CVE-2019-0215: o Apache do ePO não é compatível com o TLS 1.3 ainda.
- CVE-2019-0197: o Apache do ePO não é compatível com HTTP/2 ainda.
- CVE-2019-0196: o Apache do ePO não é compatível com HTTP/2 ainda.
- CVE-2019-0220: o ePO não usa a política do RewriteRule (o módulo de regravação nem mesmo está ativado) e também não usa o LocationMatch.
Artigo relacionado:
KB82555. EPolicy Orchestrator sustentating Engineering Statement (SBC1407112)-ePO e modules incluídos no Apache HTTP Server.