PT-2020-5444 · Apache+6 · Apache Http Server+6

Alexander Kornbrust

·

Publicado

2020-08-07

·

Atualizado

2024-04-23

·

CVE-2020-9490

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões 2.4.20 a 2.4.43 do Apache HTTP Server
Descrição
O problema está relacionado à implementação do mecanismo HTTP/2 no servidor HTTP Apache, que está associada a uma interpretação inconsistente de solicitações HTTP. Isso pode permitir que um invasor remoto cause uma negação de serviço. Um valor especialmente criado para o cabeçalho Cache-Digest em uma solicitação HTTP/2 resultaria em uma falha quando o servidor tentasse enviar um recurso via HTTP/2 PUSH posteriormente.
Recomendações
Para as versões 2.4.20 a 2.4.43 do Apache HTTP Server, configurar o recurso HTTP/2 com “H2Push off” mitigará este problema em servidores sem patch.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

HTTP Request/Response Smuggling

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444CWE-400

Identificadores relacionados

ALT-PU-2020-2594
ALT-PU-2020-3362
ALT-PU-2021-2035
BDU:2021-00585
BIT-APACHE-2020-9490
CESA-2020_3714
CVE-2020-9490
DSA-4757-1
MGASA-2020-0327
OPENSUSE-SU-2020:1285-1
OPENSUSE-SU-2020:1293-1
OPENSUSE-SU-2020:1792-1
OPENSUSE-SU-2020_1285-1
OPENSUSE-SU-2020_1293-1
OPENSUSE-SU-2020_1792-1
RHSA-2020:3714
RHSA-2020:3726
RHSA-2020:3733
RHSA-2020:3734
RHSA-2020_3714
SUSE-SU-2020:2311-1
SUSE-SU-2020:2344-1
SUSE-SU-2020:2450-1
SUSE-SU-2020:3067-1
USN-4458-1

Produtos afetados

Alt Linux
Apache Http Server
Centos
Linuxmint
Red Hat
Suse
Ubuntu