Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a Apache HTTP Server, que permitirían a un atacante realizar escritura fuera de límites de la memoria, ataques del tipo request smuggling HTTP, entre otros.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Media”. Las mismas se detallan a continuación:
- CVE-2006-20001 de severidad “Media”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el módulo mod_dav de Apache HTTP Server. Esto permitiría a un atacante realizar lectura o escritura fuera de los límites de la memoria y provocar denegación de servicio (DoS) en el sistema afectado.
- CVE-2022-36760 de severidad “Media”, sin puntuación asignada aún. Esta vulnerabilidad se debe a la validación incorrecta de las solicitudes en el módulo mod_proxy_ajp de Apache HTTP Server. Esto permitiría a un atacante realizar ataques del tipo request smuggling HTTP para obtener datos confidenciales.
- CVE-2022-37436 de severidad “Media”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el módulo mod_proxy de Apache HTTP Server. Esto permitiría a un atacante remoto realizar ataques del tipo HTTP splitting para obtener datos confidenciales.
El producto afectado es:
- Apache HTTP Server, versión 2.4.54 y anteriores.
Recomendamos instalar la actualización correspondiente provista por Apache, mediante el siguiente enlace:
Referencias: