For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00028
Identificador(es)
ASA-2019-00028, CVE-2019-0190
Título
mod_ssl 2.4.37 DoS remoto quando usado com o OpenSSL 1.1.1
Fabricante(s)
The Apache Software Foundation
Produto(s)
Apache HTTP Server
Versão(ões) afetada(s)
Apache HTTP Server 2.4.37
Versão(ões) corrigida(s)
Apache HTTP Server 2.4.38
Prova de conceito
Sim
Descrição
Existe um bug na forma como o mod_ssl lidava com renegociações de clientes. Um atacante remoto pode enviar uma solicitação cuidadosamente criada que faria com que o mod_ssl insira um loop que leva a uma negação de serviço. Esse bug pode ser acionado apenas com o Apache HTTP Server versão 2.4.37 ao usar o OpenSSL versão 1.1.1 ou posterior, devido a uma interação nas mudanças no tratamento de tentativas de renegociação.
Detalhes técnicos
Desconhecido
Créditos
mike bayer
Referência(s)
Apache HTTP Server 2.4 vulnerabilities
https://httpd.apache.org/security/vulnerabilities_24.html
CVE-2019-0190: mod_ssl 2.4.37 remote DoS when used with OpenSSL 1.1.1
https://seclists.org/oss-sec/2019/q1/82
mod_ssl Bug and SSL Labs Renegotiation Test
https://blog.qualys.com/ssllabs/2019/01/23/mod_ssl-bug-and-ssl-labs-renegotiation-test
Bug 63052 – CPU at 100% in process after SSL “scan” that logs as AH02042
https://bz.apache.org/bugzilla/show_bug.cgi?id=63052
Revision 1850946
https://svn.apache.org/viewvc?view=revision&revision=1850946
CVE-2019-0190
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0190
CVE-2019-0190
https://nvd.nist.gov/vuln/detail/CVE-2019-0190
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 8 dezembro 2019