[SECURITY-L] [RNP/CAIS Alerta #0093] Vulnerabilidade na validação de dados HTTP no Apache Server

CSIRT Unicamp security em unicamp.br
Segunda Fevereiro 6 09:18:35 -03 2023 

CAIS-Alerta [03/02/2023]: Vulnerabilidade na validação de dados HTTP no
Apache Server

Prezados(as),

O CAIS alerta para uma recente vulnerabilidade no módulo mod_proxy_ajp do
Apache HTTP Server que pode permitir um agente malicioso burlar controles
de segurança podendo causar vazamento de informações e até mesmo o
comprometimento total do sistema afetado.

Até a última revisão deste alerta, não foram identificados códigos capazes
de explorar esta vulnerabilidade.

Descrição

O que é o mod_proxy_ajp do Apache Server?
É um módulo de proxy que permite o Apache atuar como um proxy reverso para
aplicativos Java baseados em servidor, como o Tomcat. Ele permite que o
Apache gerencie as requisições HTTP e as encaminhe para o aplicativo Java,
retornando a resposta ao cliente. O protocolo AJP (Apache JServ Protocol) é
usado para comunicação entre o Apache e o aplicativo Java.

A vulnerabilidade de "HTTP request smuggling" no mod_proxy_ajp do Apache
HTTP Server é uma falha de segurança que consiste na alteração do formato
ou do conteúdo de uma requisição HTTP burlando as verificações de segurança
realizadas pelo servidor ou pelos dispositivos intermediários de rede. Isso
pode permitir que um agente malicioso explore a vulnerabilidade
comprometendo as solicitações feitas para o servidor AJP (Apache JServ
Protocol) para obter informações confidenciais, interromper serviços e até
mesmo tomar controle do sistema alvo.

Sistemas impactados
Apache HTTP Server com módulo mod_proxy_ajp ativado

Versões afetadas
Apache HTTP Server com módulo mod_proxy_ajp ativado, versões inferiores à
2.4.55

Correções disponíveis
Apache HTTP Server com módulo mod_proxy_ajp ativado, aplicar o fix da
versão 2.4.55

Identificadores CVE (http://cve.mitre.org)
CVE-2022-36760


Mais informações
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2022-36760
https://www.cve.org/CVERecord?id=CVE-2022-36760
https://nvd.nist.gov/vuln/detail/CVE-2022-36760
https://ubuntu.com/security/CVE-2022-36760


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @RedeRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       https://cais.rnp.br/                  #
# Tel. 019-37873300      Fax. 01
===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20230206/216ed6b0/attachment.html>

Mais detalhes sobre a lista de discussão SECURITY-L