Cabecera-v2-web.jpg

Salto de certificados en Apache con HTTP/2


Apache.png

Se ha anunciado una vulnerabilidad en el servidor web Apache HTTPD (versiones 2.4.18-2.4.20) por la que se salta la validación de certificados cliente X509 cuando hace uso del módulo experimental HTTP/2.

Apache es el servidor web más popular del mundo, usado por más del 52% de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.

En la versión 2.4.17 de Apache HTTP Server se introdujo como función experimental el módulo mod_http2 para el soporte del protocolo HTTP/2. El problema, con CVE-2016-4979, reside en que el servidor web Apache HTTPD no valida los certificados de cliente X509 correctamente cuando se utiliza este módulo para acceder a un recurso. El resultado es que se puede acceder a un recurso que requiere un certificado de cliente válido sin dicha credencial.

Hay que señalar que el impacto es muy limitado, ya que este módulo está compilado ni se activa por defecto (aunque alguna distribución sí­ pueda hacerlo). Generalmente necesita activarse en la lí­nea de Protocolos del archivo de configuración de Apache agregando "h2" y/o "h2c" al "http/1.1".

Se ha publicado la versión 2.4.23 del servidor web Apache que soluciona esta vulnerabilidad, disponible desde: http://httpd.apache.org/download.cgi



Fuente: redeszone.net


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11