Inicio / Content / Boletín de INCIBE-CERT del 15-03-2022

Boletín de INCIBE-CERT del 15-03-2022

Múltiples vulnerabilidades en Apache HTTP Server

Fecha de publicación: 
15/03/2022
Importancia: 
4 - Alta
Recursos afectados: 

Apache HTTP Server, versión 2.4.52 y anteriores.

Descripción: 

Se han publicado cuatro vulnerabilidades en Apache HTTP Server, que podrían permitir a un atacante leer en una zona de memoria aleatoria, realizar contrabando de solicitudes (request smuggling) HTTP, hacer una escritura fuera de límites o sobrescribir la memoria de la pila.

Solución: 

Actualizar a Apache HTTP Server 2.4.53.

Detalle: 
  • Un cuerpo de solicitud especialmente diseñado podría provocar una lectura en una zona de memoria aleatoria, que podría causar el bloqueo del proceso. Se ha asignado el identificador CVE-2022-22719 para esta vulnerabilidad media.
  • Apache HTTP Server no cierra correctamente la conexión entrante cuando se encuentran errores descartando el cuerpo de la petición, exponiendo al servidor al contrabando de solicitudes (request smuggling) HTTP. Se ha asignado el identificador CVE-2022-22720 para esta vulnerabilidad alta.
  • Si LimitXMLRequestBody está configurado para permitir peticiones de más de 350 MB (por defecto 1 M) en sistemas de 32 bits, se produce un desbordamiento de enteros, que posteriormente provoca escrituras fuera de los límites. Se ha asignado el identificador CVE-2022-22721 para esta vulnerabilidad baja.
  • Una vulnerabilidad de escritura fuera de los límites en mod_sed de Apache HTTP Server permitiría sobrescribir la memoria de la pila con datos posiblemente proporcionados por el atacante. Se ha asignado el identificador CVE-2022-23943 para esta vulnerabilidad alta.

Encuesta valoración