Argitalpen data: 2022/01/13

Garrantzia:Kritikoa

Kaltetutako baliabideak:

IBM HTTP Server (IBM WebSphere Application Server-ek erabilia), 9.0 bertsioa

Azalpena:

IBMk 2 ahultasunen berri eman du, 1 kritikoa eta 1 altua. Horiek baliatuz erasotzaile batek eskaerak bidal litzake endpoint-eko Unix Domain Socket batera, kodearen urruneko exekuzioa egin lezake edo aplikazioa blokeatu.

Konponbidea:

IBM HTTP Server-en 9.0.0.0tik 9.0.5.10era bitarteko bertsioen kasuan, bi aukera hauetako bat egitea:

• fix pack-en gutxieneko mailetara eguneratzea zuzenketa behin-behinekoak eskatzen duenaren arabera eta ondoren Interim Fix PH42862 aplikatzea;
• Fix Pack 9.0.5.11 edo ondorengoa aplikatzea (2022ko lehen hiruhilekorako eskuragarri izatea espero da).

Gerta liteke behin-behineko zuzenketa gehiago egotea eskuragarri behin-behineko zuzenketen deskarga orrialdera lotuta.

Xehetasuna:

• multiparte mod_lua parser-ean (Lua scriptetatik deituta) mugen egiaztapen desegoki baten eraginez, bufferraren gainezkatze bat balia lezake urruneko erasotzaile batek sisteman kode arbitrarioa exekutatzeko edo aplikazioa blokea dadin eragiteko, bereziki diseinatutako eskaera bat bidaliz. Larritasun kritikoko ahultasun honetarako CVE-2021-44790 identifikatzailea erabili da.
• HTTP Apache zerbitzaria ahula da zerbitzuaren ukapen baten aurrean edo zerbitzariaren aldeko eskaeren faltsutzearen aurrean. Hori baliatuz erasotzaile batek NULL erakuslearen desbideratze bat eragin lezake bereziki diseinatutako URI bat bidaliz proxy zuzen modura konfiguratutako httpd-ra, eskariak endpoint-eko Unix Domain Socket batera joan daitezen. Larritasun altuko ahultasun horretarako CVE-2021-44224 identifikatzailea erabili da.

Etiketak:Eguneraketa, Ahultasuna