Vulnerabilidad en HTTP::Daemon (CVE-2022-31081)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/06/2022
Última modificación:
07/11/2023
Descripción
HTTP::Daemon es una clase simple de servidor http escrita en perl. Las versiones anteriores a 6.15 están sujetas a una vulnerabilidad que podría ser explotada para conseguir acceso privilegiado a las API o envenenar las cachés intermedias. No es sabido con certeza la magnitud de los riesgos, la mayoría de las aplicaciones basadas en Perl son servidas sobre Nginx o Apache, no sobre el "HTTP::Daemon". Esta biblioteca es usada habitualmente para el desarrollo local y las pruebas. Es recomendado a usuarios actualizar para resolver este problema. Los usuarios que no puedan actualizar pueden añadir una lógica de administración de peticiones adicional como mitigación. Tras llamar a "my $rqst = $conn-)get_request()" podía inspeccionarse el objeto "HTTP::Request" devuelto. Consultando el "Content-Length" ("my $cl = $rqst-)header("Content-Length")") mostrará cualquier anormalidad que deba ser tratada con una respuesta "400". Las cadenas esperadas de "Content-Length" DEBERÍAN consistir en un único número entero no negativo, o bien, una repetición separada por comas de ese número. (es decir, "42" o "42, 42, 42"). Cualquier otra cosa DEBE ser rechazada
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:http\:\:daemon_project:http\:\:daemon:*:*:*:*:*:*:*:* | 6.15 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://metacpan.org/release/HTTP-Daemon/
- https://cwe.mitre.org/data/definitions/444.html
- https://datatracker.ietf.org/doc/html/rfc7230#section-9.5
- https://github.com/libwww-perl/HTTP-Daemon/commit/8dc5269d59e2d5d9eb1647d82c449ccd880f7fd0
- https://github.com/libwww-perl/HTTP-Daemon/commit/e84475de51d6fd7b29354a997413472a99db70b2
- https://github.com/libwww-perl/HTTP-Daemon/security/advisories/GHSA-cg8c-pxmv-w7cf
- https://lists.debian.org/debian-lts-announce/2022/09/msg00038.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7U4XEPZ5Q3LNOQF3E6EXFWVSEXU5IZ6T/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ECJ4ZPBQWD3B2CD6RRIVMENB5KUOJ3LC/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XQBW2D43TDNYX4R2YBTNNZDBNZ45DINN/
- https://portswigger.net/research/http-desync-attacks-request-smuggling-reborn