Apache ha publicado una actualización de seguridad para subsanar vulnerabilidades, que permitirían a un atacante leer en una zona de memoria aleatoria, realizar contrabando de solicitudes (request smuggling) HTTP, hacer una escritura fuera de los límites o sobrescribir la memoria de la pila.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta”, 1 (una) de severidad “Media” y 1 (una) de severidad “Baja”. Fueron identificadas como CVE-2022-23943, CVE-2022-22720, CVE-2022-22719 y CVE-2022-22721. Las mismas se detallan a continuación:
- CVE-2022-23943 de severidad alta, sin una puntuación asignada aún. Esta vulnerabilidad de escritura fuera de los límites en el módulo mod_sed de Apache HTTP Server, permite a un atacante sobrescribir la memoria del montón (heap) con datos posiblemente proporcionados por el mismo.
- CVE-2022-22720 de severidad alta, sin una puntuación asignada aún. Esta vulnerabilidad se debe a que Apache HTTP Server no cierra correctamente la conexión entrante cuando se encuentran errores descartando el cuerpo de la petición, exponiendo así al servidor. Esto permitiría a un atacante realizar contrabando de solicitudes (request smuggling) HTTP.
- CVE-2022-22719 de severidad media, sin una puntuación asignada aún. Esta vulnerabilidad se debe al uso incorrecto del valor inicializado del módulo mod_lua en r:parsebody (un cuerpo de solicitud especialmente diseñado), que permitiría a un atacante realizar una lectura en una zona de memoria aleatoria e incluso causar el bloqueo del proceso.
- CVE-2022-22721 de severidad baja, sin una puntuación asignada aún. Esta vulnerabilidad se debe a un posible desbordamiento de búfer con el parámetro LimitXMLRequestBody (si está configurado para permitir cuerpos de solicitud de 350 MB), logrando un desbordamiento de enteros, que permitiría a un atacante provocar escrituras fuera de los límites.
Se puede acceder al listado completo de las vulnerabilidades subsanadas aquí
Las versiones afectadas en Apache HTTP Server son:
- Apache HTTP Server, versión 2.4.52 y anteriores.
Recomendamos instalar la actualización correspondiente provista por Apache, mediante el siguiente enlace:
Referencias:
- https://httpd.apache.org/security/vulnerabilities_24.html#2.4.53
- https://nvd.nist.gov/vuln/detail/CVE-2022-23943
- https://nvd.nist.gov/vuln/detail/CVE-2022-22720
- https://nvd.nist.gov/vuln/detail/CVE-2022-22719
- https://nvd.nist.gov/vuln/detail/CVE-2022-22721
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-apache-http-server-1