ASA-2019-00027 – Apache: mod_session_cookie não respeita o tempo de expiração

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00027

Identificador(es)

ASA-2019-00027, CVE-2018-17199

Título

mod_session_cookie não respeita o tempo de expiração

Fabricante(s)

The Apache Software Foundation

Produto(s)

Apache HTTP Server

Versão(ões) afetada(s)

Apache HTTP Server 2.4.0 até 2.4.37

Versão(ões) corrigida(s)

Apache HTTP Server 2.4.38

Prova de conceito

Desconhecida

Descrição

No Apache HTTP Server 2.4, versão 2.4.37 e anterior, o mod_session verifica o tempo de expiração da sessão antes de decodificar a sessão. Isso faz com que o tempo de expiração da sessão seja ignorado para sessões mod_session_cookie, uma vez que o tempo de expiração é carregado quando a sessão é decodificada.

Detalhes técnicos

Desconhecido

Créditos

Diego Angulo (ImExHS)

Referência(s)

Apache HTTP Server 2.4 vulnerabilities
https://httpd.apache.org/security/vulnerabilities_24.html

CVE-2018-17199: mod_session_cookie does not respect expiry time
https://seclists.org/oss-sec/2019/q1/81

CVE-2018-17199
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17199

CVE-2018-17199
https://nvd.nist.gov/vuln/detail/CVE-2018-17199

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 janeiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.