{"id":2191,"date":"2019-04-03T15:18:45","date_gmt":"2019-04-03T15:18:45","guid":{"rendered":"https:\/\/warp.lacnic.net\/uncategorized\/multiples-vulnerabilidades-en-apache-http-server"},"modified":"2023-06-07T16:34:06","modified_gmt":"2023-06-07T13:34:06","slug":"multiples-vulnerabilidades-en-apache-http-server","status":"publish","type":"post","link":"https:\/\/csirt.lacnic.net\/en\/news\/multiples-vulnerabilidades-en-apache-http-server","title":{"rendered":"M\u00faltiples vulnerabilidades en Apache HTTP Server"},"content":{"rendered":"

Apache lanz\u00f3 un aviso despu\u00e9s de descubrir m\u00faltiples vulnerabilidades importantes que afectan a los servidores HTTP Apache<\/strong>.
\nEn total han detectado 6 vulnerabilidades, de las cuales 3 han sido consideradas como de severidad alta, mientras que el resto han sido calificadas como baja.<\/p>\n

La primer vulnerabilidad se identifica como CVE-2019-0221<\/strong>. En un servidor Apache HTTP con MPM (M\u00f3dulos de MultiProcesamiento) event, worker o prefork, el c\u00f3digo que se ejecuta en procesos o subprocesos secundarios con pocos privilegios (incluyendo scripts ejecutado por un int\u00e9rprete de scripts), podr\u00eda permitir a un atacante ejecutar c\u00f3digo arbitrario con los privilegios de root manipulando el marcador.<\/p>\n

La segunda se identifica como CVE-2019-0217<\/strong> y se da ante una condici\u00f3n de secuencia en mod_auth_digest cuando se est\u00e1 ejecutando en un servidor de subprocesos, que podr\u00eda permitir a un usuario con credenciales v\u00e1lidas autenticarse usando otro nombre de usuario y omitiendo las restricciones de control de acceso.<\/p>\n

La \u00faltima vulnerabilidad grave es denominada CVE-2019-0215<\/strong>. Un error en mod_ssl al utilizar la verificaci\u00f3n de certificados de cliente por ubicaci\u00f3n con TLSv1.3, podr\u00eda permitir a un atacante que soporte la autenticaci\u00f3n Post-Handshake eludir las restricciones de control de acceso.<\/p>\n

El resto de las vulnerabilidades son identificadas como CVE-2019-0197, CVE-2019-0196 y CVE-2019-0220.<\/p>\n

Versiones afectadas<\/h3>\n