ASA-2019-00028 – Apache: mod_ssl 2.4.37 DoS remoto quando usado com o OpenSSL 1.1.1

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00028

Identificador(es)

ASA-2019-00028, CVE-2019-0190

Título

mod_ssl 2.4.37 DoS remoto quando usado com o OpenSSL 1.1.1

Fabricante(s)

The Apache Software Foundation

Produto(s)

Apache HTTP Server

Versão(ões) afetada(s)

Apache HTTP Server 2.4.37

Versão(ões) corrigida(s)

Apache HTTP Server 2.4.38

Prova de conceito

Yes

Descrição

Existe um bug na forma como o mod_ssl lidava com renegociações de clientes. Um atacante remoto pode enviar uma solicitação cuidadosamente criada que faria com que o mod_ssl insira um loop que leva a uma negação de serviço. Esse bug pode ser acionado apenas com o Apache HTTP Server versão 2.4.37 ao usar o OpenSSL versão 1.1.1 ou posterior, devido a uma interação nas mudanças no tratamento de tentativas de renegociação.

Detalhes técnicos

Desconhecido

Créditos

mike bayer

Referência(s)

Apache HTTP Server 2.4 vulnerabilities
https://httpd.apache.org/security/vulnerabilities_24.html

CVE-2019-0190: mod_ssl 2.4.37 remote DoS when used with OpenSSL 1.1.1
https://seclists.org/oss-sec/2019/q1/82

mod_ssl Bug and SSL Labs Renegotiation Test
https://blog.qualys.com/ssllabs/2019/01/23/mod_ssl-bug-and-ssl-labs-renegotiation-test

Bug 63052 – CPU at 100% in process after SSL “scan” that logs as AH02042
https://bz.apache.org/bugzilla/show_bug.cgi?id=63052

Revision 1850946
https://svn.apache.org/viewvc?view=revision&revision=1850946

CVE-2019-0190
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0190

CVE-2019-0190
https://nvd.nist.gov/vuln/detail/CVE-2019-0190

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 3 fevereiro 2019