For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00027
Identificador(es)
ASA-2019-00027, CVE-2018-17199
Título
mod_session_cookie não respeita o tempo de expiração
Fabricante(s)
The Apache Software Foundation
Produto(s)
Apache HTTP Server
Versão(ões) afetada(s)
Apache HTTP Server 2.4.0 até 2.4.37
Versão(ões) corrigida(s)
Apache HTTP Server 2.4.38
Prova de conceito
Desconhecida
Descrição
No Apache HTTP Server 2.4, versão 2.4.37 e anterior, o mod_session verifica o tempo de expiração da sessão antes de decodificar a sessão. Isso faz com que o tempo de expiração da sessão seja ignorado para sessões mod_session_cookie, uma vez que o tempo de expiração é carregado quando a sessão é decodificada.
Detalhes técnicos
Desconhecido
Créditos
Diego Angulo (ImExHS)
Referência(s)
Apache HTTP Server 2.4 vulnerabilities
https://httpd.apache.org/security/vulnerabilities_24.html
CVE-2018-17199: mod_session_cookie does not respect expiry time
https://seclists.org/oss-sec/2019/q1/81
CVE-2018-17199
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17199
CVE-2018-17199
https://nvd.nist.gov/vuln/detail/CVE-2018-17199
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 24 janeiro 2019