ASA-2019-00027 – Apache: mod_session_cookie não respeita o tempo de expiração


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00027

Identificador(es)

ASA-2019-00027, CVE-2018-17199

Título

mod_session_cookie não respeita o tempo de expiração

Fabricante(s)

The Apache Software Foundation

Produto(s)

Apache HTTP Server

Versão(ões) afetada(s)

Apache HTTP Server 2.4.0 até 2.4.37

Versão(ões) corrigida(s)

Apache HTTP Server 2.4.38

Prova de conceito

Desconhecida

Descrição

No Apache HTTP Server 2.4, versão 2.4.37 e anterior, o mod_session verifica o tempo de expiração da sessão antes de decodificar a sessão. Isso faz com que o tempo de expiração da sessão seja ignorado para sessões mod_session_cookie, uma vez que o tempo de expiração é carregado quando a sessão é decodificada.

Detalhes técnicos

Desconhecido

Créditos

Diego Angulo (ImExHS)

Referência(s)

Apache HTTP Server 2.4 vulnerabilities
https://httpd.apache.org/security/vulnerabilities_24.html

CVE-2018-17199: mod_session_cookie does not respect expiry time
https://seclists.org/oss-sec/2019/q1/81

CVE-2018-17199
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17199

CVE-2018-17199
https://nvd.nist.gov/vuln/detail/CVE-2018-17199

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 janeiro 2019