Fecha de publicaciĂłn: 15/03/2022
Importancia:
Alta
Recursos afectados:
Apache HTTP Server, versiĂłn 2.4.52 y anteriores.
DescripciĂłn:
Se han publicado cuatro vulnerabilidades en Apache HTTP Server, que podrĂan permitir a un atacante leer en una zona de memoria aleatoria, realizar contrabando de solicitudes (request smuggling) HTTP, hacer una escritura fuera de lĂmites o sobrescribir la memoria de la pila.
SoluciĂłn:
Actualizar a Apache HTTP Server 2.4.53.
Detalle:
- Un cuerpo de solicitud especialmente diseñado podrĂa provocar una lectura en una zona de memoria aleatoria, que podrĂa causar el bloqueo del proceso. Se ha asignado el identificador CVE-2022-22719 para esta vulnerabilidad media.
- Apache HTTP Server no cierra correctamente la conexiĂłn entrante cuando se encuentran errores descartando el cuerpo de la peticiĂłn, exponiendo al servidor al contrabando de solicitudes (request smuggling) HTTP. Se ha asignado el identificador CVE-2022-22720 para esta vulnerabilidad alta.
- Si LimitXMLRequestBody estĂĄ configurado para permitir peticiones de mĂĄs de 350 MB (por defecto 1 M) en sistemas de 32 bits, se produce un desbordamiento de enteros, que posteriormente provoca escrituras fuera de los lĂmites. Se ha asignado el identificador CVE-2022-22721 para esta vulnerabilidad baja.
- Una vulnerabilidad de escritura fuera de los lĂmites en mod_sed de Apache HTTP Server permitirĂa sobrescribir la memoria de la pila con datos posiblemente proporcionados por el atacante. Se ha asignado el identificador CVE-2022-23943 para esta vulnerabilidad alta.
Etiquetas:
ActualizaciĂłn, Apache, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.