Salto de certificados en Apache con HTTP/2

Boletines

Descargar

Se ha anunciado una vulnerabilidad en el servidor web Apache HTTPD (versiones 2.4.18­2.4.20) por la que se salta la validación de certificados cliente X509 cuando se hace uso del módulo experimental HTTP/2.

En  la  versión  2.4.17  de  Apache  HTTP  Server  se  introdujo  como  función  experimental  el  módulo mod_http2 para el soporte del protocolo HTTP/2. El problema, con  CVE­2016­4979, reside en que el servidor  web  Apache  HTTPD  no  valida  los  certificados  de  cliente  X509  correctamente  cuando  se utiliza este módulo para acceder a un recurso. El resultado es que se puede acceder a un recurso que requiere un certificado de cliente válido sin dicha credencial.

Hay que señalar que el impacto es muy limitado, ya que este módulo está compilado y no se activa por  defecto  (aunque  alguna  distribución  sí  pueda  hacerlo).  Generalmente  necesita  activarse  en  la línea de Protocols del archivo de configuración de Apache agregando "h2" y/o "h2c" al "http/1.1".

Por  ende,  se  ha  publicado  la  versión  2.4.23  del  servidor  web  Apache  que  soluciona  esta vulnerabilidad, disponible desde:
http://httpd.apache.org/download.cgi

Categorías » Boletines
En Ago. 2, 2016
Etiquetas :