Vulnerabilidad en Apache HTTP Server
CVE-2021-44790
Esta vulnerabilidad afecta al módulo de Apache HTTP Server “mod_lua”, donde sería posible generar un desbordamiento de memoria (buffer overflow) a través de request específicamente creado con el fin de explotarla.
La correcta explotación de esta vulnerabilidad podría resultar en el compromiso del servidor.
Todas las versiones menores o iguales a 2.4.51 se ven afectadas de estar encendido el módulo de “mod_lua”.
CVE-2021-44224
Esta vulnerabilidad existe de utilizarse Apache HTTP Server en modo “forward proxy server “(ProxyRequests on), en donde una URI creada con el fin de explotar esta vulnerabilidad podría detener el servicio o desencadenar un SSRF (Server side request forgery).
Las versiones afectadas se encuentran entre mayores o iguales a 2.4.7 y menores o iguales a 2.4.51, adicionalmente, es necesario utilizar el servicio en modo “forward proxy server”.
Remediación
Actualizar Apache HTTP Server a la versión 2.4.52.
Mitigaciónes
Es posible, mientras se coordina la actualización, mitigar la vulnerabilidad CVE-2021-44790 si se deshabilita el módulo “mod_lua”. Para el caso de la CVE-2021-44224 es necesario validar que no se esté utilizando (ProxyRequests on).
Recomendaciones
Es posible utilizar el comando “httpd -M” para listar los módulos de Apache. Adicionalmente se puede realizar un “grep” para filtrar la salida en búsqueda del módulo lua.
httpd -M | grep -i lua
Si no se está utilizando el módulo, es posible deshabilitarlo comentando la línea que lo carga dentro de las configuraciones de apache http server.
A modo de ejemplo:
/etc/httpd/conf.modules.d/00-lua.conf:LoadModule lua_module modules/mod_lua.so
Cambiar por:
/etc/httpd/conf.modules.d/00-lua.conf:#LoadModule lua_module modules/mod_lua.so