Vulnerabilidad

Vulnerabilidad de Apache permite saltearse la autenticación con certificado

Se ha anunciado una vulnerabilidad crítica de Apache (desde la versión 2.4.18 hasta la 2.4.20) que permite saltearse los controles de autenticación basados en certificados X509 en caso de que se use http/2. Se insta a quienes utilicen esta funcionalidad de Apache actualizar a la versión 2.4.23 o posterior.
Logo de Apache.

Descripción

Apache puede controlar el acceso a distintos recursos de varias formas; por ejemplo usando un password, para determinadas direcciones IP, etc. Otra opción, cuando se utiliza SSL o TLS, es dar acceso basado en que el cliente utilice una clave privada de un certificado X509. Cuando se utiliza esta opción, en el archivo de configuración de apache se encuentra una línea de “SSLVerifyClient require” junto con una lista de certificados de clientes (SSLCACertificateFile).

En la versión 2.4.17 de Apache se introdujeron funcionalidades experimentales: mod_http2 para el protocolo http/2. Este modulo no es compilado por defecto, sin embargo algunas distribuciones pueden haber decidido hacerlo. En general para que este modulo este habilitado se debe agregar en la línea de Protocols en el archivo de configuración de apache se debe agregar “h2” y/o “h2c” al “http/1.1” que viene por defecto.

Desde la versión 2.4.18 hasta la 2.4.20 el servidor Apache falla en la validación del certificado del cliente cuando se provee de acceso a un recurso que funcione con http/2. Como resultado de esto, un recurso que se asume es inaccesible sin un certificado válido, queda accesible sin autenticación.

Para solucionar esta vulnerabilidad, identificada con el CVE-2016-4979, se debe actualizar a la versión de Apache a las 2.4.23 o posterior. En forma provisoria también se puede deshabilitar la utilización del protocolo http/2.

Sistemas afectados

Apache HTTPD web server desde la versión 2.4.18  hasta la 2.4.20

Tipo de impacto

Un atacante puede obtener acceso a un recurso alojado en el servidor Apache sin necesidad de credenciales. Esto puede llevar a divulgación de información confidencial.

Solución

Para solucionarlo se debe actualizar a la versión 2.4.23 o posterior.

De forma provisoria se puede deshabilitar el uso de http/2

Etiquetas