ASA-2019-00168 – Apache: Read-after-free em comparação de string no mod_http2

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00168

Identificador(es)

ASA-2019-00168, CVE-2019-0196

Título

Read-after-free em comparação de string no mod_http2

Fabricante(s)

The Apache Software Foundation

Produto(s)

httpd

Versão(ões) afetada(s)

httpd 2.4.17 até 2.4.38

Versão(ões) corrigida(s)

httpd 2.4.39

Prova de conceito

Desconhecido

Descrição

Usando a entrada de rede fuzzed, o tratamento de solicitação http/2 pode ser feito para acessar a memória liberada na comparação de strings ao determinar o método de uma solicitação e, portanto, processar a solicitação incorretamente.

Detalhes técnicos

Desconhecido

Créditos

Craig Young

Referência(s)

httpd 2.4 vulnerabilities – The Apache HTTP Server Project
https://httpd.apache.org/security/vulnerabilities_24.html

CVE-2019-0196: mod_http2, read-after-free on a string compare
https://seclists.org/oss-sec/2019/q2/0

CVE-2019-0196
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0196

CVE-2019-0196
https://nvd.nist.gov/vuln/detail/CVE-2019-0196

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 4 abril 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.