Skip to main content

Argitalpen data: 2022/03/15

Garrantzia:Altua

Kaltetutako baliabideak:

Apache HTTP Server, 2.4.52 eta lehenagoko bertsioak.

Azalpena:

Apache HTTP Server-ek dituen lau ahultasun argitaratu dira. Horiek baliatuz erasotzaile batek ausazko memoriaren ingurune batean irakur lezake, HTTP eskaeren kontrabandoa egin (request smuggling), mugez kanpoko idazketa bat egin, edo pilako memoria gainidatzi.

Konponbidea:

Apache HTTP Server 2.4.53 bertsiora eguneratzea.

Xehetasuna:

  • Bereziki diseinatutako eskaera gorputz batek ausazko memoriaren ingurune batean irakurketa bat eragin lezake, eta horrek prozesuaren blokeoa eragin. Larritasun ertaineko ahultasun horretarako CVE-2022-22719 identifikatzailea erabili da.
  • Apache HTTP Server-ek ez du zuzen ixten sarrerako konexioa, eskaeraren gorputza baztertuz akatsak aurkitzen direnean. Horrela zerbitzaria HTTP eskaeren kontrabandoaren (request smuggling) arriskuan uzten du. Larritasun altuko ahultasun horretarako CVE-2022-22720 identifikatzailea erabili da.
  • 32 biteko sistemetan LimitXMLRequestBody konfiguratuta badago 350 MB baino gehiagoko eskaerak baimentzeko (modu lehenetsian 1 M), osokoen gainezkatze bat gertatzen da, ondoren mugez kanpoko idazketak eragiten dituena. Larritasun baxuko ahultasun horretarako CVE-2022-22721 identifikatzailea esleitu da.
  • Apache HTTP Server-en mod_sed-ek duen mugez kanpoko idazketa erako ahultasun bat baliatuz, pilako memoria gainidatz liteke seguruenik erasotzaileak emandako datuekin. Larritasun altuko ahultasun horretarako CVE-2022-23943 identifikatzailea erabili da.

Encuesta valoración

Etiketak:Eguneraketa, Apache, Ahultasuna

Partekatu

Linkedin partekatu