Se
ha anunciado una vulnerabilidad en el servidor web Apache HTTPD (versiones 2.4.18-2.4.20) por la que se salta
la validación de certificados cliente X509 cuando hace uso del módulo
experimental HTTP/2.
Apache es el servidor web más
popular del mundo, usado por más del 52% de los sitios web, disponible en
código fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.
En la versión 2.4.17 de Apache
HTTP Server se introdujo como función experimental el módulo mod_http2 para el
soporte del protocolo HTTP/2. El problema, con CVE-2016-4979,
reside en que el servidor web Apache HTTPD no valida los certificados de
cliente X509 correctamente cuando se utiliza este módulo para acceder a un
recurso. El resultado es que se puede acceder a un recurso que requiere un certificado
de cliente válido sin dicha credencial.
Hay que señalar que el impacto es
muy limitado, ya que este módulo está compilado ni se activa por defecto (aunque
alguna distribución sí pueda hacerlo). Generalmente necesita activarse en la línea
de Protocols del archivo de configuración de Apache agregando "h2"
y/o "h2c" al "http/1.1".
Se ha publicado la versión 2.4.23
del servidor web Apache que soluciona esta vulnerabilidad, disponible desde:
Más información:
CVE-2016-4979: HTTPD webserver - X509 Client
certificate based authentication can be bypassed when HTTP/2 is used [vs]
Apache HTTP Server 2.4.23 Released
Apache httpd 2.4 vulnerabilities
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario