Confiira !
O pacote apache anterior à versão 2.4.43-1 é vulnerável a vários problemas, incluindo divulgação de informações e redirecionamento aberto.
Comunicado de Segurança do Arch Linux ASA-202004-14
==========================================
Gravidade: baixa
Data: 2020-04-15
CVE-ID: CVE-2020-1927 CVE-2020-1934
Pacote: apache
Tipo: vários problemas
Remoto: Sim
Link: https://security.archlinux.org/AVG-1126
Sumário
=======
O pacote apache anterior à versão 2.4.43-1 é vulnerável a vários
problemas, incluindo divulgação de informações e redirecionamento aberto.
Resolução
==========
Atualize para 2.4.43-1.
# pacman -Syu "apache> = 2.4.43-1"
Os problemas foram corrigidos na versão 2.4.43.
Gambiarra
==========
Nenhum.
Descrição
===========
- CVE-2020-1927 (redirecionamento aberto)
Foi encontrado um problema de segurança no Apache HTTP Server de 2.4.0 até
e incluindo 2.4.41, no módulo mod_rewrite, onde redireciona esse
destinados a ser auto-referenciais podem ser enganados por códigos
novas linhas e redirecione para um URL inesperado dentro do
URL de solicitação.
Esse é o mesmo defeito do CVE-2019-10098. A correção para CVE-2019-10098
foi ineficaz.
Possíveis atenuações são o uso de capturas de âncoras como referências posteriores,
ou prefixando redirecionamentos auto-referenciais com / ou esquema, host e
porta.
- CVE-2020-1934 (divulgação de informações)
O uso de um valor não inicializado foi encontrado no Apache HTTP Server
do 2.4.0 até o 2.4.41 inclusive, no módulo mod_proxy_ftp,
ao fazer proxy de um servidor FTP malicioso.
Impacto
======
Um invasor remoto pode causar um redirecionamento por meio de um HTTP criado
solicitar ou divulgar informações ao fazer proxy de um servidor FTP.
Referências
==========
https://httpd.apache.org/security/vulnerabilities_24.html
https://seclists.org/oss-sec/2020/q2/3
https://seclists.org/oss-sec/2020/q2/4
https://svn.apache.org/viewvc/httpd/httpd/trunk/modules/proxy/mod_proxy_ftp.c?r1=1873745&r2=1873744&pathrev=1873745
https://security.archlinux.org/CVE-2020-1927
https://security.archlinux.org/CVE-2020-1934
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário