ASA-2019-00516 – Apache HTTP Server: Ataque de Negação de Serviço (DoS) através da exaustão de workers no mod_http2


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00516

Identificador(es)

ASA-2019-00516, CVE-2019-9517

Título

Ataque de Negação de Serviço (DoS) através da exaustão de workers no mod_http2

Fabricante(s)

The Apache Software Foundation

Produto(s)

Apache HTTP Server

Versão(ões) afetada(s)

Apache HTTP Server versões 2.4.20 até 2.4.39

Versão(ões) corrigida(s)

Apache HTTP Server versão 2.4.41

Prova de conceito

Desconhecido

Descrição

Um cliente pode executar um ataque de negação de serviço (DoS) enviando inúmeras requisições para uma conexão e, basicamente, nunca lendo respostas na conexão TCP. Dependendo da quantidade de H2Workers (threads), é possível bloquear aqueles com relativamente poucas conexões.

Detalhes técnicos

Desconhecido

Créditos

Jonathan Looney (Netflix)

Referência(s)

httpd 2.4 vulnerabilities – The Apache HTTP Server Project
https://httpd.apache.org/security/vulnerabilities_24.html

CVE-2019-9517: mod_http2, DoS attack by exhausting h2 workers
https://seclists.org/oss-sec/2019/q3/142

Apache HTTP Server 2.4.41 Released
https://www.apache.org/dist/httpd/Announcement2.4.html

HTTP/2 Denial of Service Advisory
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md

CVE-2019-9517
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9517

CVE-2019-9517
https://nvd.nist.gov/vuln/detail/CVE-2019-9517

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 14 setembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.