Apache Software Foundation ha lanzado el pasado 26 de septiembre actualizaciones del servidor web Apache HTTP Server 2.4 para abordar cinco vulnerabilidades: CVE-2021-40438, CVE-2021-34798, CVE-2021-33193, CVE-2021-36160 y CVE-2021-39275, estas vulnerabilidades afectarían directamente a Cisco en su producto Cisco Expressway.
La vulnerabilidad identificada como CVE-2021-39275 de severidad crítica con una puntuación de 9.8, permite que un atacante remoto no autenticado cause una denegación de servicio (DoS) en el servidor o potencialmente ejecute código en el sistema con los privilegios del usuario httpd. Dicha vulnerabilidad radica en la función ap_escape_quotes (), en donde puede llegar a escribir más allá del final de un búfer cuando ejecuta con un input malicioso.
La vulnerabilidad identificada como CVE-2021-40438 de severidad crítica con una puntuación de 9, detectada en una función desconocida del componente mod_proxy, que mediante la manipulación de un input desconocido se causa una vulnerabilidad de escalada de privilegios, Esta vulnerabilidad se considera fácil de explotar ya que no se requiere de autentificación.
Las vulnerabilidades identificadas como CVE-2021-34798, CVE-2021-33193 y CVE-2021-36160 poseen una severidad alta con una puntuación de 7.5.
La vulnerabilidad identificada como CVE-2021-34798 radica en las solicitudes (input) mal formadas que pueden hacer que el servidor elimine la referencia a un puntero NULL. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase denegación de servicio.
La vulnerabilidad identificada como CVE-2021-33193, que se produce con un método elaborado enviado a través de HTTP/2, el cual omitirá la validación y será reenviado por el mod_proxy, lo que puede llevar a la división de solicitudes o causar una vulnerabilidad de escalada de privilegios.
Por último, la vulnerabilidad identificada como CVE-2021-36160, la cual se produce cuando se genera una solicitud uri-path especialmente diseñada que permite que el mod_proxy_uwsgi lea la memoria asignada y se bloquee generando una condición de denegación de servicio (DoS).
El parche que soluciona esta vulnerabilidad fue incluido en la versión Apache HTTP Server 2.4.49.
La vulnerabilidad afecta a Cisco Expressway (anteriores a X14.0.4 y X14.1) y Apache HTTP Server 2.4.48 y versiones anteriores.
Recomendaciones:
- Recomendamos instalar las actualizaciones del fabricante disponibles en medios oficiales, lo antes posible.
Nota: Antes de descargar e instalar en su servidor de producción, recomendamos probar esto en una máquina de prueba.
Referencia: