ASA-2019-00172 – Apache: Bypass de controle de acesso no mod_auth_digest


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00172

Identificador(es)

ASA-2019-00172, CVE-2019-0217

Título

Bypass de controle de acesso no mod_auth_digest

Fabricante(s)

The Apache Software Foundation

Produto(s)

httpd

Versão(ões) afetada(s)

httpd 2.4.0 até 2.4.38

Versão(ões) corrigida(s)

httpd 2.4.39 ou posterior

Prova de conceito

Desconhecido

Descrição

No Apache HTTP Server 2.4, versão 2.4.38 e anterior, um race condition em mod_auth_digest ao ser executado em um servidor threaded poderia permitir que um usuário com credenciais válidas autenticasse usando outro nome de usuário, ignorando as restrições de controle de acesso configuradas.

Detalhes técnicos

Desconhecido

Créditos

Simon Kappel

Referência(s)

httpd 2.4 vulnerabilities – The Apache HTTP Server Project
https://httpd.apache.org/security/vulnerabilities_24.html

CVE-2019-0217: mod_auth_digest access control bypass
https://seclists.org/oss-sec/2019/q2/4

CVE-2019-0217
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0217

CVE-2019-0217
https://nvd.nist.gov/vuln/detail/CVE-2019-0217

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 4 abril 2019