Apache HTTP Server de Apache Software Foundation Fallos de seguridad encontrados

Vulnerabilidades CVE de Apache HTTP Server de Apache Software Foundation

CVE-2023-25690 : Algunas configuraciones de mod_proxy en Apache HTTP Server versiones 2.4.0 a 2.4.55 permiten un ataque de contrabando de solicitudes HTTP. Las configuraciones se ven afectadas cuando mod_proxy está habilitado junto con alguna forma de RewriteRule o ProxyPassMatch en el que un patrón no específico coincide con una parte de los datos de destino de solicitud (URL) proporcionados por el usuario y luego se vuelve a insertar en el destino de solicitud de proxy mediante sustitución de variables. Por ejemplo, algo como: RewriteEngine on RewriteRule "^/here/(.*)" "http://example.com:8080/elsewhere?$1"; [P] ProxyPassReverse /aquí/ http://example.com:8080/ La división/el contrabando de solicitudes podría resultar en la omisión de los controles de acceso en el servidor proxy, el envío de direcciones URL no deseadas a servidores de origen existentes y el envenenamiento de caché. Se recomienda a los usuarios que actualicen al menos a la versión 2.4.56 de Apache HTTP Server.
CVE-2023-27522 : Vulnerabilidad de contrabando de respuesta HTTP en el servidor HTTP Apache a través de mod_proxy_uwsgi. Este problema afecta al servidor Apache HTTP: del 2.4.30 al 2.4.55. Los caracteres especiales en el encabezado de la respuesta de origen pueden truncar/dividir la respuesta enviada al cliente.

CVE-2023-27522 CVE-2023-25690: https://httpd.apache.org/security/vulnerabilities_24.html

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-03-11. Fecha publicación el 2023-03-11. Autor: Oscar olg Mapa del sitio Fuente: cve report