Múltiples vulnerabilidades en Apache HTTP Server

Fecha de publicación
23/12/2021
Importancia
4 - Alta
Recursos Afectados

Apache HTTP Server, versión 2.4.51 y anteriores.

Descripción

Se han publicado dos vulnerabilidades, de severidades alta y media respectivamente, en Apache HTTP Server, que podrían permitir a un atacante remoto tomar el control del sistema afectado.

Solución

Actualizar a Apache HTTP Server 2.4.52.

Detalle
  • Una URI especialmente diseñada, enviada a un Apache HTTP configurado como proxy directo (ProxyRequests on), podría permitir a un atacante el cierre inesperado del sistema (NULL pointer dereference) o, en el caso de configuraciones mixtas de proxy directo e inverso, podría permitir que las peticiones se dirijan a un socket de un endpoint de dominio Unix (Server Side Request Forgery). Se ha asignado el identificador CVE-2021-44224 para esta vulnerabilidad media.
  • Un cuerpo de solicitud especialmente diseñado, podría permitir a un atacante el desbordamiento de búfer en mod_lua multipart parser (r:parsebody() called from Lua scripts). Se ha asignado el identificador CVE-2021-44790 para esta vulnerabilidad alta.

Encuesta valoración

Listado de referencias
high: Possible buffer overflow when parsing multipart content in mod_lua of Apache HTTP Server 2.4.51 and earlier (CVE-2021-44790)
moderate: Possible NULL dereference or SSRF in forward proxy configurations in Apache HTTP Server 2.4.51 and earlier (CVE-2021-44224)
Apache Releases Security Update for HTTP Server
Etiquetas

botón arriba