ASA-2019-00515 – Apache HTTP Server: Corrupção de memória em pushes no módulo mod_http2


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00515

Identificador(es)

ASA-2019-00515, CVE-2019-10081

Título

Corrupção de memória em pushes no módulo mod_http2

Fabricante(s)

The Apache Software Foundation

Produto(s)

Apache HTTP Server

Versão(ões) afetada(s)

Apache HTTP Server versões 2.4.20 até 2.4.39

Versão(ões) corrigida(s)

Apache HTTP Server versão 2.4.41

Prova de conceito

Desconhecido

Descrição

Pushes HTTP/2 muito cedo, por exemplo, configurados com “H2PushResource”, podem levar a uma substituição de memória no pool de requisições, conduzindo a falhas. A memória copiada é aquela dos valores do cabeçalho do link push configurado, não os dados fornecidos pelo cliente.

Detalhes técnicos

Desconhecido

Créditos

Craig Young (Tripwire VERT)

Referência(s)

httpd 2.4 vulnerabilities – The Apache HTTP Server Project
https://httpd.apache.org/security/vulnerabilities_24.html

CVE-2019-10081: mod_http2, memory corruption on early pushes
https://seclists.org/oss-sec/2019/q3/137

Apache HTTP Server 2.4.41 Released
https://www.apache.org/dist/httpd/Announcement2.4.html

CVE-2019-10081
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10081

CVE-2019-10081
https://nvd.nist.gov/vuln/detail/CVE-2019-10081

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 21 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.