Si su servidor web se ejecuta en Apache, debe instalar inmediatamente la última versión disponible de la aplicación de servidor para evitar que los piratas informáticos tomo el control no autorizado sobre él. Apache recientemente corrigió múltiples vulnerabilidades en su software de servidor web que podrían haber llevado potencialmente a la ejecución de código arbitrario y, en escenarios específicos, incluso podría permitir a los atacantes causar un bloqueo y denegación de
servicio.
Los defectos, rastreados como CVE-2020-9490, CVE-2020-11984, CVE-2020-11993, fueron descubiertos por Felix Wilhelm de Google Project Zero, y desde entonces han sido abordados por la Fundación Apache en la última versión del software (2.4.46).
El primero de los tres problemas implica una posible vulnerabilidad de ejecución remota de código debido a un desbordamiento de búfer con el módulo «mod_uwsgi» (CVE-2020-11984), lo que podría permitir a un adversario ver, cambiar o eliminar datos confidenciales en función de los privilegios asociados con una aplicación que se ejecuta en el servidor.
«[Una] Solicitud maliciosa puede dar lugar a la divulgación de información o [ejecución remota de código] de un archivo existente en el servidor que se ejecuta bajo un entorno de proceso malintencionado», señaló Apache. Un segundo defecto se refiere a una vulnerabilidad que se desencadena cuando se habilita la depuración en el módulo»mod_http2″(CVE-2020-11993), lo que provoca que se realicen instrucciones de registro en la conexión incorrecta y, por lo tanto, se tradiente en daños en la memoria debido al uso simultáneo del grupo de registros.
CVE-2020-9490, el más grave de los tres, también reside en el módulo HTTP/2 y utiliza un encabezado ‘Cache-Digest’ especialmente diseñado para causar una corrupción de memoria para conducir a un bloqueo y denegación de servicio.
Cache Digest forma parte de una característica de optimización web ahora abandonada que tiene como objetivo abordar un problema con las inserciones del servidor, lo que permite a un servidor enviar respuestas de forma preventiva a un cliente con antelación, al permitir que los clientes informen al servidor de su contenido recién almacenado en caché para que el ancho de banda no se malgase en el envío de recursos que ya están en la memoria caché del cliente. Por lo tanto, cuando se inyecta un valor especialmente diseñado en el encabezado ‘Cache-Digest’ en una solicitud HTTP/2, causaría un bloqueo cuando el servidor envía un paquete PUSH usando el encabezado. En servidores sin parches, este problema se puede resolver desactivando la función de inserción del servidor HTTP/2.
Aunque actualmente no hay informes de estas vulnerabilidades que se explotan en estado salvaje, es esencial que los parches se apliquen a los sistemas vulnerables inmediatamente después de las pruebas adecuadas, así como asegurarse de que la aplicación se ha configurado con sólo los permisos necesarios para mitigar el impacto.
