Pasar al contenido principal
Vulnerabilidad

Vulnerabilidad en Apache HTTP Server

Apache Software Foundation liberó recientemente la versión Apache HTTP Server 2.4.52, la cual corrige dos vulnerabilidades de criticidad crítica y alta. Actualmente, no se tiene constancia de la explotación activa de estas vulnerabilidades desde Internet, pero cabe destacar que las mismas no requieren autenticación o privilegios adicionales para ser explotada.
apache

CVE-2021-44790

Esta vulnerabilidad afecta al módulo de Apache HTTP Server “mod_lua”, donde sería posible generar un desbordamiento de memoria (buffer overflow) a través de request específicamente creado con el fin de explotarla.

La correcta explotación de esta vulnerabilidad podría resultar en el compromiso del servidor.

Todas las versiones menores o iguales a 2.4.51 se ven afectadas de estar encendido el módulo de “mod_lua”.

CVE-2021-44224

Esta vulnerabilidad existe de utilizarse Apache HTTP Server en modo “forward proxy server “(ProxyRequests on), en donde una URI creada con el fin de explotar esta vulnerabilidad podría detener el servicio o desencadenar un SSRF (Server side request forgery).

Las versiones afectadas se encuentran entre mayores o iguales a 2.4.7 y menores o iguales a 2.4.51, adicionalmente, es necesario utilizar el servicio en modo “forward proxy server”.

Remediación

Actualizar Apache HTTP Server a la versión 2.4.52.

Mitigaciónes

Es posible, mientras se coordina la actualización, mitigar la vulnerabilidad CVE-2021-44790 si se deshabilita el módulo “mod_lua”. Para el caso de la CVE-2021-44224 es necesario validar que no se esté utilizando (ProxyRequests on).

Recomendaciones

Es posible utilizar el comando “httpd -M” para listar los módulos de Apache. Adicionalmente se puede realizar un “grep” para filtrar la salida en búsqueda del módulo lua.

httpd -M | grep -i lua

Si no se está utilizando el módulo, es posible deshabilitarlo comentando la línea que lo carga dentro de las configuraciones de apache http server.

A modo de ejemplo:

/etc/httpd/conf.modules.d/00-lua.conf:LoadModule lua_module modules/mod_lua.so

Cambiar por:

/etc/httpd/conf.modules.d/00-lua.conf:#LoadModule lua_module modules/mod_lua.so

Referencias

Apache HTTP Server

NVD NIST CVE-2021-44790

NVD NIST CVE-2021-44224

Etiquetas