Múltiples vulnerabilidades en Apache HTTP Server

Apache lanzó un aviso después de descubrir múltiples vulnerabilidades importantes que afectan a los servidores HTTP Apache.
En total han detectado 6 vulnerabilidades, de las cuales 3 han sido consideradas como de severidad alta, mientras que el resto han sido calificadas como baja.

La primer vulnerabilidad se identifica como CVE-2019-0221. En un servidor Apache HTTP con MPM (Módulos de MultiProcesamiento) event, worker o prefork, el código que se ejecuta en procesos o subprocesos secundarios con pocos privilegios (incluyendo scripts ejecutado por un intérprete de scripts), podría permitir a un atacante ejecutar código arbitrario con los privilegios de root manipulando el marcador.

La segunda se identifica como CVE-2019-0217 y se da ante una condición de secuencia en mod_auth_digest cuando se está ejecutando en un servidor de subprocesos, que podría permitir a un usuario con credenciales válidas autenticarse usando otro nombre de usuario y omitiendo las restricciones de control de acceso.

La última vulnerabilidad grave es denominada CVE-2019-0215. Un error en mod_ssl al utilizar la verificación de certificados de cliente por ubicación con TLSv1.3, podría permitir a un atacante que soporte la autenticación Post-Handshake eludir las restricciones de control de acceso.

El resto de las vulnerabilidades son identificadas como CVE-2019-0197, CVE-2019-0196 y CVE-2019-0220.

Versiones afectadas

  • Apache HTTP Server, versiones 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1 y 2.4.0.

Recomendaciones

  • Actualizar a la versión de HTTP Apache Server a 2.4.39.
  • Para actualizar Apache lo primero que tenemos que hacer es parar el servidor. Es importante guardar la carpeta del servidor de Apache y posteriormente descargar la nueva versión que queremos instalar.