Múltiples vulnerabilidades de Apache recientemente reveladas parcheadas

A principios de este mes se hizo público otro conjunto de vulnerabilidades, esta vez en el código de Apache. Dado que Apache es, y ha sido durante bastante tiempo, el servidor web de facto para la (mayoría de la) Internet, incluso las vulnerabilidades de bajo impacto que le afectan pueden tener efectos de gran alcance.

Las versiones afectadas de Apache comienzan en la versión 2.4.0 (una vulnerabilidad de las cuatro que se revelaron comienza afectando a la versión 2.4.39) hasta la versión 2.4.46 inclusive.

Los parches ya están disponibles para los sistemas protegidos con la Asistencia Ampliada al Ciclo de Vida.

Echemos un vistazo más de cerca a las vulnerabilidades. La primera se denomina CVE-2020-35452, y se trata de un desbordamiento de pila potencial de mod_auth_digest de bajo impacto. Según la descripción, aunque la vulnerabilidad se detectó en el código, sería difícil que se activara sin el uso de configuraciones peculiares del compilador al compilar el código de Apache. Sin embargo, ahora que el problema ha salido a la luz y que los actores maliciosos son lo que son, sin duda están tratando de encontrar maneras de explotarlo. Recordando anteriores vulnerabilidades de desbordamiento de pila, transformar un exploit exitoso en ejecución de código arbitrario es común.

A continuación, CVE-2021-26690 es otra vulnerabilidad de bajo impacto, esta vez en mod_session, donde una desviación del puntero NULL puede bloquear Apache y causar una denegación de servicio. Internamente, el equipo de TuxCare ha determinado que ésta no debería ser una vulnerabilidad de bajo impacto, sino al menos de riesgo moderado. Se ha desarrollado una Prueba de Concepto para probar el fallo, y de forma fiable bloquea los procesos hijo de Apache. Dado lo reciente de la revelación, es posible que la gravedad se eleve pronto en el registro oficial de CVE.

Otra vulnerabilidad de bajo impacto que afecta a mod_session, CVE-2021-26691, es un problema con la forma en que se gestionan las respuestas cuando Apache se comunica con procesadores de peticiones backend como PHP. Esto podría, si se explota, provocar un desbordamiento de heap y una posible filtración de información. Debido a la forma en que se produce la comunicación entre Apache y el backend, no es fácilmente explotable, y si un atacante estuviera en condiciones de hacerlo, atacar Apache de esta forma sería una alternativa enrevesada a lo que ya tenía a su disposición.

El último problema de este lote es una vulnerabilidad de impacto moderado, CVE-2021-30641, causada por la coincidencia inesperada de URL cuando se utiliza "MergeSlashes OFF" en la configuración. Aunque todavía no se dispone de todos los detalles, la funcionalidad mencionada podría llevar a eludir los controles de seguridad a través de URL especialmente diseñadas. Los informes oficiales no mencionan que Ubuntu sea susceptible de ello, pero las pruebas internas revelaron que sí lo es, por lo que también se han puesto a disposición parches para este sistema.

Si estás ejecutando nginx en lugar de Apache, y en caso de que te lo hayas perdido, una vulnerabilidad fue revelada a finales del mes pasado y corregida por el equipo de TuxCare. Lee más al respecto aquí.

El equipo de TuxCare, como siempre, comprueba todas las vulnerabilidades para que usted no tenga que hacerlo. Si ya eres suscriptor del servicio Extended Lifecycle Support, ya tienes disponibles los parches para los sistemas afectados. Si buscas más información sobre el servicio, puedes encontrarla aquí.