Cabecera-v2-web.jpg

Vulnerabilidades de riesgo alto y medio en Apache HTTP Server permitirían a un atacante ejecutar código



Recientemente han sido abordadas un total de 3 vulnerabilidades que afectan a Apache HTTP Server desde la versión 2.4.20 hasta la 2.4.43, de las cuales 1 ha sido catalogada como alta y 2 de riesgo medio. La explotación exitosa de estos fallos permitiría a un atacante la ejecución remota de código y realizar ataques de denegación de servicios (DoS).

A continuación, se detallan brevemente las vulnerabilidades anteriormente mencionadas:

El CVE-2020-9490 de riesgo alto, afecta a las versiones 2.4.20 a 2.4.43; y se da debido a una falta de validación de los datos proveídos por el usuario durante el procesamiento del encabezado HTTP “Cache-Digest” de una solicitud HTTP/2, lo cual podría producir un bloqueo del servidor cuando el mismo utiliza el HTTP/2 PUSH (función que permite al servidor HTTP/2 enviar recursos a un cliente antes de que este lo solicite). La explotación exitosa de este fallo permitiría a un atacante remoto realizar un ataque de denegación de servicios (DoS).

El CVE-2020-11984 de riesgo medio, trata de una vulnerabilidad de Buffer Overflow que afecta a las versiones 2.4.32 a 2.4.43; y se da debido a un error de límites en el módulo mod_proxy_uwsgi. La explotación exitosa de este fallo permitiría a un atacante remoto obtener información confidencial o ejecutar código arbitrario en el servidor afectado.

Finalmente el CVE-2020-11993 de riesgo medio, afecta a las versiones 2.4.20 a 2.4.43; y se da debido a un manejo inapropiado de los recursos internos durante el procesamiento de solicitudes HTTP/2 con la característica trace/debug habilitada, sabiendo esto un atacante remoto podría enviar solicitudes HTTP/2 especialmente diseñadas para obligar al servidor a realizar declaraciones de registro en una conexión incorrecta, dando como resultado el uso simultáneo de grupos de memoria para conexiones separadas y permitiendo al atacante realizar un ataque de denegación de servicios (DoS) en el servidor afectado.

Recomendaciones:

  • Actualizar Apache HTTP Server a la última versión disponible, en este caso la versión 2.4.46, desde el siguiente enlace.
  • En caso de no ser posible la actualización, se recomiendan como medidas de mitigación:
    • Configurar la función HTTP/2 con “H2Push off”;
    • Configurar el LogLevel de mod_http2 arriba de “info”.
Referencias:
pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11