ASA-2019-00514 – Apache HTTP Server: mod_http2, read-after-free em shutdown de conexões h2

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00514

Identificador(es)

ASA-2019-00514, CVE-2019-10082

Título

mod_http2, read-after-free em shutdown de conexões h2

Fabricante(s)

The Apache Software Foundation

Produto(s)

Apache HTTP Server

Versão(ões) afetada(s)

Apache HTTP Server versões 2.4.18 até 2.4.39

Versão(ões) corrigida(s)

Apache HTTP Server versão 2.4.41

Prova de conceito

Desconhecido

Descrição

Usando entrada de dados pela rede manipulada por método de fuzzing, o gerenciamento da sessão http/2 poderia ser feita para ler endereços de memória após estes serem liberados, durante o término da conexão.

Detalhes técnicos

Desconhecido

Créditos

Craig Young (Tripwire VERT)

Referência(s)

httpd 2.4 vulnerabilities – The Apache HTTP Server Project
https://httpd.apache.org/security/vulnerabilities_24.html

CVE-2019-10082: mod_http2, read-after-free in h2 connection shutdown
https://seclists.org/oss-sec/2019/q3/138

Apache HTTP Server 2.4.41 Released
https://www.apache.org/dist/httpd/Announcement2.4.html

CVE-2019-10082
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10082

CVE-2019-10082
https://nvd.nist.gov/vuln/detail/CVE-2019-10082

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 21 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.