Múltiples vulnerabilidades en Apache HTTP Server
Fecha de publicación
23/12/2021
Importancia
4 - Alta
Recursos Afectados
Apache HTTP Server, versión 2.4.51 y anteriores.
Descripción
Se han publicado dos vulnerabilidades, de severidades alta y media respectivamente, en Apache HTTP Server, que podrían permitir a un atacante remoto tomar el control del sistema afectado.
Solución
Actualizar a Apache HTTP Server 2.4.52.
Detalle
- Una URI especialmente diseñada, enviada a un Apache HTTP configurado como proxy directo (ProxyRequests on), podría permitir a un atacante el cierre inesperado del sistema (NULL pointer dereference) o, en el caso de configuraciones mixtas de proxy directo e inverso, podría permitir que las peticiones se dirijan a un socket de un endpoint de dominio Unix (Server Side Request Forgery). Se ha asignado el identificador CVE-2021-44224 para esta vulnerabilidad media.
- Un cuerpo de solicitud especialmente diseñado, podría permitir a un atacante el desbordamiento de búfer en mod_lua multipart parser (r:parsebody() called from Lua scripts). Se ha asignado el identificador CVE-2021-44790 para esta vulnerabilidad alta.
Listado de referencias
Etiquetas