ASA-2019-00169 – Apache: Possível crash na atualização tardia no mod_http2


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00169

Identificador(es)

ASA-2019-00169, CVE-2019-0197

Título

Possível crash na atualização tardia no mod_http2

Fabricante(s)

The Apache Software Foundation

Produto(s)

httpd

Versão(ões) afetada(s)

httpd 2.4.34 até 2.4.38

Versão(ões) corrigida(s)

httpd 2.4.39 ou posterior

Prova de conceito

Desconhecido

Descrição

Quando HTTP/2 foi ativado para um http: host ou o H2Upgrade foi ativado para h2 em um https: host, uma solicitação de upgrade de http/1.1 para http/2 que não foi a primeira solicitação em uma conexão pode levar a um erro de configuração e crash. Servidores que nunca habilitaram o protocolo h2 ou apenas o habilitaram para https: e não definiram “H2Upgrade on” não são afetados por esse problema.

Detalhes técnicos

Desconhecido

Créditos

Stefan Eissing (greenbytes.de)

Referência(s)

httpd 2.4 vulnerabilities – The Apache HTTP Server Project
https://httpd.apache.org/security/vulnerabilities_24.html

CVE-2019-0197: mod_http2, possible crash on late upgrade
https://seclists.org/oss-sec/2019/q2/1

CVE-2019-0197
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0197

CVE-2019-0197
https://nvd.nist.gov/vuln/detail/CVE-2019-0197

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 4 abril 2019