Vulnerabilidades de riesgo alto y medio en Apache HTTP Server permitirían a un atacante ejecutar código

Recientemente han sido abordadas un total de 3 vulnerabilidades que afectan a Apache HTTP Server desde la versión 2.4.20 hasta la 2.4.43, de las cuales 1 ha sido catalogada como alta y 2 de riesgo medio. La explotación exitosa de estos fallos permitiría a un atacante la ejecución remota de código y realizar ataques de denegación de servicios (DoS).

A continuación, se detallan brevemente las vulnerabilidades anteriormente mencionadas:

El CVE-2020-9490 de riesgo alto, afecta a las versiones 2.4.20 a 2.4.43; y se da debido a una falta de validación de los datos proveídos por el usuario durante el procesamiento del encabezado HTTP “Cache-Digest” de una solicitud HTTP/2, lo cual podría producir un bloqueo del servidor cuando el mismo utiliza el HTTP/2 PUSH (función que permite al servidor HTTP/2 enviar recursos a un cliente antes de que este lo solicite). La explotación exitosa de este fallo permitiría a un atacante remoto realizar un ataque de denegación de servicios (DoS).

El CVE-2020-11984 de riesgo medio, trata de una vulnerabilidad de Buffer Overflow que afecta a las versiones 2.4.32 a 2.4.43; y se da debido a un error de límites en el módulo mod_proxy_uwsgi. La explotación exitosa de este fallo permitiría a un atacante remoto obtener información confidencial o ejecutar código arbitrario en el servidor afectado.

Finalmente el CVE-2020-11993 de riesgo medio, afecta a las versiones 2.4.20 a 2.4.43; y se da debido a un manejo inapropiado de los recursos internos durante el procesamiento de solicitudes HTTP/2 con la característica trace/debug habilitada, sabiendo esto un atacante remoto podría enviar solicitudes HTTP/2 especialmente diseñadas para obligar al servidor a realizar declaraciones de registro en una conexión incorrecta, dando como resultado el uso simultáneo de grupos de memoria para conexiones separadas y permitiendo al atacante realizar un ataque de denegación de servicios (DoS) en el servidor afectado.

Recomendaciones:

• Actualizar Apache HTTP Server a la última versión disponible, en este caso la versión 2.4.46, desde el siguiente enlace.
• En caso de no ser posible la actualización, se recomiendan como medidas de mitigación:
  • Configurar la función HTTP/2 con “H2Push off”;
  • Configurar el LogLevel de mod_http2 arriba de “info”.

Referencias:

• https://httpd.apache.org/security/vulnerabilities_24.html
• https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-apache-web-server-could-allow-for-remote-code-execution_2020-108/
• https://www.cybersecurity-help.cz/vdb/SB2020080806