CSIRT Panamá Aviso 2020-04-06 Apache: Vulnerabilidades de Apache HTTP Server 2.4

Posted By: VW507 April 7, 2020

Gravedad: Alta Vulnerabilidad: CVE-2020-1927 / CVE-2020-1934
Fecha de publicación: Marzo 6, 2020
Última revisión: Marzo 6, 2020
Portal: https://httpd.apache.org/security/vulnerabilities_24.html

Sistemas Afectados:
Servidor HTTP Apache desde la versión 2.4.0 hasta la 2.4.41.
I. Descripción
Actualización de Apache HTTP Server 2.4 referente a dos vulnerabilidades críticas que afectan a sus productos, versiones corregidas mediante la versión 2.4.42.

II. Impacto
Vulnerabilidad: CVE-2020-1927
Debido a una incorrecta sanitización de datos entregados por el usuario en algunas configuraciones “mod_rewrite”, un atacante remoto podría crear un enlace que lleve a un sitio seguro, pero que al darle click, redirija a otro sitio web. Esto podría permitir a un atacante engañar a usuarios que den click en el enlace permitiéndole realizar ataques phishing para robar credenciales e información sensible.

Vulnerabilidad: CVE-2020-1934
Debido a que era posible para un servidor FTP malicioso abusar del componente “mod_proxy_ftp” que utilizaba memoria sin inicializar al pasar por el proxy, un atacante remoto podía obtener acceso no autorizado a información sensible del sistema afectado.

III. Referencia a soluciones, herramientas e información

Mitigación: Actualizar a la versión 2.4.42.
Fuentes:
• Mozilla.org. 3 de abril del 2020. Recopilado en: https://httpd.apache.org/security/vulnerabilities_24.html
• Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1927
• Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1934
• CSIRT Chile. Vulnerabilidades. 4 de abril del 2020. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00168-01/

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124