Apache informa vulnerabilidades que afectan a HTTP Server
El equipo de Ciberseguridad de Netglobalis informa El proveedor de servidores web HTTP, Apache ha publicado una serie de vulnerabilidades que afectan a HTTP Server en versiones anteriores a la 2.4.53. La mayoría de estas fallas fueron notificadas a Apache a finales de 2021 y sus parches han sido publicados a mediados de marzo de 2022. Las vulnerabilidades se clasifican en 3 de severidad Crítica con un puntaje 9.8 de 10 y 1 de severidad Alta.
Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Por tanto, se recomienda a los usuarios y administradores revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:
Afectaciones:
SEVERIDAD CRITICA
CVE-2022-23943 (CVSS: 9.8) mod_sed: Read/write beyond bounds
Se reportó que Apache 2.4.52 y anteriores, presentan vulnerabilidades de escritura fuera de los límites en mod_sed del servidor HTTP, lo cual permite a un atacante sobreescribir la memoria del montón con datos posiblemente proporcionados por el atacante.
Esta vulnerabilidad aprovecha el mal manejo de los buffers, lo que podría permitir una escritura fuera de los límites cuando el módulo edita respuestas o solicitudes con grandes cantidades de datos.
CVE-2022-22721(CVSS: 9.8) Possible buffer overflow with very large or unlimited LimitXMLRequestBody
Una mala configuración en LimitXMLRequestBody que permite cuerpos en solicitud de más de 350MB en sistemas de 32 bits (considerando un valor predeterminado de 1MB), produce un desbordamiento de enteros que luego provoca escrituras fuera de los límites.
Este problema afecta a Apache HTTP Server 2.4.52 y versiones anteriores.
CVE-2022-22720 (CVSS:9.8) HTTP request smuggling vulnerability in Apache HTTP Server 2.4.52 and earlier
Las versiones afectadas de Apache HTTP Server no pueden cerrar la conexión entrante cuando se encuentran errores al descartar el request body, lo que expone al servidor al contrabando de solicitudes HTTP. Esta vulnerabilidad fue notificada al proveedor en diciembre del 2021 y se lanzó oficialmente su parche el 14 de marzo de 2022.
SEVERIDAD ALTA
CVE-2022-22719 (CVSS: 7.5) mod_lua Use of uninitialized value of in r: parsebody
El 18 de diciembre de 2021 se le reportó a Apache una vulnerabilidad que afecta a Apache HTTP Server 2.4.53, la cual consiste en un request body elaborado cuidadosamente para provocar una lectura en un área de memoria aleatoria que podría provocar que el proceso se bloquee. La actualización de esta falla fue lanzada el 14 de marzo de 2022.
Solución:
Se recomienda encarecidamente a los usuarios de Apache que apliquen un parche lo antes posible para contener la vulnerabilidad de cruce de rutas y mitigar cualquier riesgo asociado a la explotación activa del fallo.
Se adjunta el siguiente enlace como guía de ayuda.