ASA-2019-00168 – Apache: Read-after-free em comparação de string no mod_http2


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00168

Identificador(es)

ASA-2019-00168, CVE-2019-0196

Título

Read-after-free em comparação de string no mod_http2

Fabricante(s)

The Apache Software Foundation

Produto(s)

httpd

Versão(ões) afetada(s)

httpd 2.4.17 até 2.4.38

Versão(ões) corrigida(s)

httpd 2.4.39

Prova de conceito

Desconhecido

Descrição

Usando a entrada de rede fuzzed, o tratamento de solicitação http/2 pode ser feito para acessar a memória liberada na comparação de strings ao determinar o método de uma solicitação e, portanto, processar a solicitação incorretamente.

Detalhes técnicos

Desconhecido

Créditos

Craig Young

Referência(s)

httpd 2.4 vulnerabilities – The Apache HTTP Server Project
https://httpd.apache.org/security/vulnerabilities_24.html

CVE-2019-0196: mod_http2, read-after-free on a string compare
https://seclists.org/oss-sec/2019/q2/0

CVE-2019-0196
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0196

CVE-2019-0196
https://nvd.nist.gov/vuln/detail/CVE-2019-0196

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 4 abril 2019