
Recientemente, Apache Software Foundation ha lanzado una actualización urgente (Apache HTTP Server 2.4.52) para resolver vulnerabilidades críticas en su servidor Apache HTTP.
La vulnerabilidad descubierta se marcó como crítica y los atacantes informáticos podrían aprovecharla para tomar el control de un sistema vulnerable.
Aparte de esto, incluso CISA, la agencia de respuesta de seguridad del gobierno de los EE. UU., También ha solicitado a los usuarios de la comunidad de código abierto que actualicen de inmediato su antigua versión vulnerable con la más reciente.
Falla obligó a liberar actualización
Aquí hemos mencionado las fallas que han obligado a lanzar una actualización urgente con el parche:
- CVE ID: CVE-2021-44790
- Descripción: posible desbordamiento del búfer al analizar contenido de varias partes en mod_lua de Apache HTTP Server 2.4.51 y versiones anteriores.
- Severidad: Crítica
- CVSS (Puntuación): 9.8
- CVE ID: CVE-2021-44224
- Descripción: posible desreferenciación NULL o SSRF en configuraciones de proxy de reenvío en Apache HTTP Server 2.4.51 y versiones anteriores.
- Severidad: Alta
- CVSS (Puntuación): 8.2
Si bien la última versión GA de la rama de nueva generación 2.4.x de Apache HTTPD es la versión recién lanzada Apache HTTP Server 2.4.52, Apache ha recomendado a todos los usuarios que actualicen inmediatamente todas las versiones anteriores.
Esto es lo que declaró la fundación
Un URI elaborado enviado a httpd configurado como un proxy de reenvío (ProxyRequests on) puede causar un bloqueo (desreferencia del puntero NULL) o, para configuraciones que mezclan declaraciones de proxy inverso y directo, puede permitir que las solicitudes se dirijan a un extremo de socket de dominio Unix declarado ( Falsificación de solicitud del lado del servidor – SSRF).
Apache Software Fundation
Falla obligó a liberar actualización
Si desea descargar la versión más reciente de Apache HTTP Server, versión 2.4.52, puede visitar aquí, ya que es el canal de descarga oficial de Apache Software Fundation.
Además, en la lista de vulnerabilidades explotadas conocidas, estos fallos de seguridad son identificados por los expertos en ciberseguridad, y todos estos son mantenidos por la agencia de respuesta de seguridad del gobierno de EE.UU. CISA.