Recientemente Apache ha publicado una actualización de seguridad para mitigar dos vulnerabilidades, una de severidad alta y la otra de severidad crítica, identificadas como CVE-2021-44224 y CVE2021-44790 respectivamente, que podrían permitir a un atacante remoto tomar el control del sistema afectado.

Productos afectados:

Apache HTTP Server, versión 2.4.51 y anteriores.

Descripción:

CVE-2021-44224: Severidad alta, con una puntuación CVSS de 8.2. La falla reside en el componente del Proxy Handler. Un atacante podría crear una petición httpd maliciosa provocando un ataque de denegación de servicio (DoS). Con una URI especialmente diseñada, enviada a un Apache HTTP configurado como proxy directo (ProxyRequests on), podría permitir a un atacante el cierre inesperado del sistema (NULL pointer dereference) o, en el caso de configuraciones mixtas de proxy directo e inverso, podría permitir que las peticiones se dirijan a un socket de un endpoint de dominio Unix (Server Side Request Forgery).

CVE-2021-44790: Severidad crítica, con una puntuación CVSS de 9.8. La falla reside en el componente mod_lua Multipart Parser a través de un error de programación en la función r:parsebody. Un atacante no autenticado podría llevar a cabo un ataque de desbordamiento de búfer con el fin de realizar ejecución remota de comandos.

Recomendaciones:

• Actualizar a Apache HTTP Server 2.4.52.

Referencias:

• https://nvd.nist.gov/vuln/detail/CVE-2021-44224
• https://nvd.nist.gov/vuln/detail/CVE-2021-44790
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-apache-http-server-0