Salto de certificados en Apache con HTTP/2

Se ha anunciado una vulnerabilidad en el servidor web Apache HTTPD (versiones 2.4.18-2.4.20) por la que se salta la validación de certificados cliente X509 cuando hace uso del módulo experimental HTTP/2.

Apache es el servidor web más popular del mundo, usado por más del 52% de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.

En la versión 2.4.17 de Apache HTTP Server se introdujo como función experimental el módulo mod_http2 para el soporte del protocolo HTTP/2. El problema, con CVE-2016-4979, reside en que el servidor web Apache HTTPD no valida los certificados de cliente X509 correctamente cuando se utiliza este módulo para acceder a un recurso. El resultado es que se puede acceder a un recurso que requiere un certificado de cliente válido sin dicha credencial.

Hay que señalar que el impacto es muy limitado, ya que este módulo está compilado ni se activa por defecto (aunque alguna distribución sí pueda hacerlo). Generalmente necesita activarse en la línea de Protocols del archivo de configuración de Apache agregando "h2" y/o "h2c" al "http/1.1".

Se ha publicado la versión 2.4.23 del servidor web Apache que soluciona esta vulnerabilidad, disponible desde:

http://httpd.apache.org/download.cgi

Más información:

CVE-2016-4979: HTTPD webserver - X509 Client certificate based authentication can be bypassed when HTTP/2 is used [vs]

https://mail-archives.apache.org/mod_mbox/httpd-announce/201607.mbox/CVE-2016-4979-68283

Apache HTTP Server 2.4.23 Released

https://www.apache.org/dist/httpd/Announcement2.4.html

Apache httpd 2.4 vulnerabilities

http://httpd.apache.org/security/vulnerabilities_24.html

Antonio Ropero

[email protected]

Twitter: @aropero