ASA-2019-00026 – Apache: mod_http2, DoS via solicitação lenta e desnecessária


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00026

Identificador(es)

ASA-2019-00026, CVE-2018-17189

Título

mod_http2, DoS via solicitação lenta e desnecessária

Fabricante(s)

The Apache Software Foundation

Produto(s)

Apache HTTP Server

Versão(ões) afetada(s)

Apache HTTP Server 2.4.17 até 2.4.37

Versão(ões) corrigida(s)

Apache HTTP Server 2.4.38

Prova de conceito

Desconhecida

Descrição

Ao enviar solicitação de maneira lenta para recursos simples, o fluxo h2 para essa solicitação ocupava desnecessariamente uma thread do servidor, limpando os dados recebidos. Isso afeta apenas as conexões HTTP/2 (mod_http2) nas versões 2.4.37 e anteriores do Apache HTTP Server.

Detalhes técnicos

Desconhecidos

Créditos

Gal Goldshtein (F5 Networks)

Referência(s)

Apache HTTP Server 2.4 vulnerabilities
https://httpd.apache.org/security/vulnerabilities_24.html

CVE-2018-17189: mod_http2, DoS via slow, unneeded request bodies
https://seclists.org/oss-sec/2019/q1/80

CVE-2018-17189
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17189

CVE-2018-17189
https://nvd.nist.gov/vuln/detail/CVE-2018-17189

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 1 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.