For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00169
Identificador(es)
ASA-2019-00169, CVE-2019-0197
Título
Possível crash na atualização tardia no mod_http2
Fabricante(s)
The Apache Software Foundation
Produto(s)
httpd
Versão(ões) afetada(s)
httpd 2.4.34 até 2.4.38
Versão(ões) corrigida(s)
httpd 2.4.39 ou posterior
Prova de conceito
Desconhecido
Descrição
Quando HTTP/2 foi ativado para um http: host ou o H2Upgrade foi ativado para h2 em um https: host, uma solicitação de upgrade de http/1.1 para http/2 que não foi a primeira solicitação em uma conexão pode levar a um erro de configuração e crash. Servidores que nunca habilitaram o protocolo h2 ou apenas o habilitaram para https: e não definiram “H2Upgrade on” não são afetados por esse problema.
Detalhes técnicos
Desconhecido
Créditos
Stefan Eissing (greenbytes.de)
Referência(s)
httpd 2.4 vulnerabilities – The Apache HTTP Server Project
https://httpd.apache.org/security/vulnerabilities_24.html
CVE-2019-0197: mod_http2, possible crash on late upgrade
https://seclists.org/oss-sec/2019/q2/1
CVE-2019-0197
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0197
CVE-2019-0197
https://nvd.nist.gov/vuln/detail/CVE-2019-0197
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 4 abril 2019