viernes, 24 de diciembre de 2021

Actualización de seguridad importante servidor web httpd Apache 2.4.51 e inferiores (mod_lua y ProxyRequests)

 El 20 de diciembre de 2021, Apache emitió oficialmente un aviso de seguridad para corregir múltiples vulnerabilidades. Los números de vulnerabilidad incluidos son: CVE-2021-44224, CVE-2021-44790, el nivel de vulnerabilidad es de alto riesgo. La primera vulnerabilidad sólo afecta si tenemos la directiva ProxyRequests On y la segunda si usamos el módulo mod_lua activado (por defecto se encuentra deshabilitado). Las dos vulnerabilidades se encuentran corregidas en Apache 2.4.52. No se conocen exploits públicos por el momento.


 

 


Apache HTTP Server es un software de servidor web multiplataforma gratuito y de código abierto, publicado bajo los términos de la licencia Apache 2.0. Apache es desarrollado y mantenido por una comunidad abierta de desarrolladores bajo los auspicios de Apache Software Foundation. Puede ejecutarse en la mayoría de los sistemas operativos de computadora. Es muy utilizado por su multiplataforma y seguridad. Es uno de los software del lado del servidor web más populares.

Detalles de las 2 vulnerabilidades

CVE-2021-44224: Possible NULL dereference or SSRF in forward proxy configurations

A crafted URI sent to httpd configured as a forward proxy (ProxyRequests on) can cause a crash (NULL pointer dereference) or, for configurations mixing forward and reverse proxy declarations, can allow for requests to be directed to a declared Unix Domain Socket endpoint (Server Side Request Forgery).

Affected version

  • Apache HTTP Server: >=2.4.7, <=2.4.51

CVE-2021-44790: Possible buffer overflow when parsing multipart content in mod_lua

A carefully crafted request body can cause a buffer overflow in the mod_lua multipart parser (r:parsebody() called from Lua scripts). But this module is not enabled by default, and Apache HTTP Server without this module is not affected by this vulnerability.

 

Resumen

  • CVE-2021-44790 – Desbordamiento de búfer en mod_lua, Manifestado La solicitud de análisis consta de varias partes (multiparte). Esta vulnerabilidad afecta al script Lua que llama a la función r: parsebody () para analizar la configuración del cuerpo de la solicitud y permite que un atacante envíe una solicitud especialmente diseñada para lograr el desbordamiento del búfer. Aún no se ha determinado que existe una vulnerabilidad, pero el problema puede provocar que su código se ejecute en el servidor.
  • CVE-2021-44224 —— SSRF Vulnerabilidad en mod_proxy (falsificación de solicitud del lado del servidor), que permite en una configuración con el ajuste «ProxyRequests on», a través de una solicitud de un URI especialmente formateado, la solicitud es redirigida al mismo servidor a través de otro proceso que acepta la conexión a través de Unix. dominio Programa socket. El problema también se puede utilizar para provocar un bloqueo creando una condición que elimine la referencia a un puntero nulo. Este problema afecta a las versiones httpd de Apache desde 2.4.7.

 

 Fuentes:

https://httpd.apache.org/security/vulnerabilities_24.html

No hay comentarios:

Publicar un comentario