30 abril, 2020

9VSA20-00198-01 CSIRT comparte actualizaciones de Apache para Apache Traffic Server

RESUMEN

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Apache referente a vulnerabilidad que afecta a Apache Traffic Server. El presente informe incluye la respectiva medida de mitigación.

VULNERABILIDAD

CVE-2020-9481

Impacto

El producto ATS es afectado por la vulnerabilidad “HTTP/2 Slow read attack”, la cual permitiría a un atacante causar una denegación de servicios en el servidor web, esto por medio del envío de paquetes hasta hacerlo colapsar.

Productos Afectados

Apache Traffic Server, desde la versión 6.0.0 hasta la 6.2.3, desde la versión 7.0.0 hasta la 7.1.9 y desde la versión 8.0.0 hasta la 8.0.6.

Mitigación

Para quienes utilicen la versión 6.x y 7.x, se debe actualizar a la 7.1.10 o posteriores, y para la versión 8.x, actualizar a la 8.0.7 o posteriores.

Enlaces

https://lists.apache.org/thread.html/r21ddaf0a4a973f3c43c7ff399ae50d2f858f13f87bd6a9551c5cf6db%40<announce.trafficserver.apache.org>

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9481

INFORME

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00198-01

9VSA20-00198-01 CSIRT comparte actualizaciones de Apache para Apache Traffic Server