Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Apache HTTP Server

Múltiples vulnerabilidades en Apache HTTP Server

Fecha de publicación: 
23/12/2021
Importancia: 
4 - Alta
Recursos afectados: 

Apache HTTP Server, versión 2.4.51 y anteriores.

Descripción: 

Se han publicado dos vulnerabilidades, de severidades alta y media respectivamente, en Apache HTTP Server, que podrían permitir a un atacante remoto tomar el control del sistema afectado.

Solución: 

Actualizar a Apache HTTP Server 2.4.52.

Detalle: 
  • Una URI especialmente diseñada, enviada a un Apache HTTP configurado como proxy directo (ProxyRequests on), podría permitir a un atacante el cierre inesperado del sistema (NULL pointer dereference) o, en el caso de configuraciones mixtas de proxy directo e inverso, podría permitir que las peticiones se dirijan a un socket de un endpoint de dominio Unix (Server Side Request Forgery). Se ha asignado el identificador CVE-2021-44224 para esta vulnerabilidad media.
  • Un cuerpo de solicitud especialmente diseñado, podría permitir a un atacante el desbordamiento de búfer en mod_lua multipart parser (r:parsebody() called from Lua scripts). Se ha asignado el identificador CVE-2021-44790 para esta vulnerabilidad alta.

Encuesta valoración