Google detecta tres vulnerabilidades en Apache
La Fundación Apache recomienda aplicar parches al popular servidor web.
Recientemente, Apache reparó múltiples vulnerabilidades en su software de servidor web que podrían haber llevado a la ejecución de código aleatorio y, en escenarios específicos, incluso podrían permitir a los atacantes causar un cuelgue y denegación de servicio.
Las fallas, identificadas como CVE-2020-9490, CVE-2020-11984, CVE-2020-11993, fueron descubiertas por Felix Wilhelm del Project Zero de Google, y posteriormente han sido resueltas por la Fundación Apache en la última versión del software (2.4.46).
La primera de las tres incidencias se refiere a una posible vulnerabilidad en la ejecución de código remoto debido a un desbordamiento del búfer con el módulo “mod_uwsgi” (CVE-2020-11984), que podría permitir a un atacante ver, cambiar o eliminar datos sensibles en función de los privilegios asociados a una aplicación ejecutada en el servidor. “Una solicitud maliciosa puede dar lugar a la divulgación de información o a la [ejecución remota de código] de un archivo existente en el servidor que se encuentre en un entorno de proceso malicioso”, señala Apache en su descripción.
Un segundo fallo se refiere a una vulnerabilidad que se desencadena al activarse la funcionalidad de depuración en el módulo “mod_http2” (CVE-2020-11993), que ocasiona declaraciones de registro en la conexión incorrecta y, por lo tanto, da lugar a la corrupción de la memoria debido al uso concurrente del repositorio de registros.
CVE-2020-9490, el más grave de los tres, también reside en el módulo HTTP/2 y utiliza la cabecera “Cache-Digest” especialmente elaborada para causar que la corrupción de la memoria conduzca a una caída y a la denegación del servicio. Cache Digest es parte de una función de optimización web ahora en desuso que tiene por objeto resolver un problema con la funcionalidad push del servidor -que permite al servidor enviar anticipadamente respuestas a un cliente- permitiendo que los clientes informen al servidor de su contenido recién almacenado en la memoria caché, evitando así el desperdicio de ancho de banda en el envío de recursos que ya están en la memoria caché del cliente.
Por lo tanto, al inyectar un valor especialmente elaborado en la cabecera “Cache-Digest” en una solicitud HTTP/2, es posible causar una caída del servidor cuando este envía un paquete push. En los servidores sin parches, este problema puede resolverse desactivando la función push del servidor HTTP/2.
Aunque actualmente no hay reportes de que estas vulnerabilidades estén siendo explotadas, es esencial instalar los parches y actualizar el software, recomienda la Fundación Apache.