PT-2021-5806 · Apache+2 · Apache Http Server+2

Publicado

2021-05-20

·

Atualizado

2024-06-10

·

CVE-2019-17567

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas
Servidor HTTP Apache, versões 2.4.6 a 2.4.46
Descrição
O problema está relacionado ao tratamento de solicitações HTTP no servidor Apache HTTP. Especificamente, quando o mod proxy wstunnel é configurado em uma URL que não é necessariamente atualizada pelo servidor de origem, ele tuneliza toda a conexão independentemente disso, permitindo que solicitações subsequentes na mesma conexão passem sem validação, autenticação ou autorização HTTP. Isso poderia permitir que um invasor remoto comprometesse a integridade dos dados.
Recomendações
Para as versões 2.4.6 a 2.4.46 do servidor HTTP Apache, considere desativar o módulo mod proxy wstunnel até que um patch esteja disponível para impedir o acesso não autorizado. Restrinja o acesso a áreas confidenciais do servidor para minimizar o risco de exploração. Como solução temporária, considere implementar mecanismos adicionais de validação e autenticação para solicitações recebidas a fim de mitigar o risco. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444

Identificadores relacionados

ALT-PU-2021-1838
ALT-PU-2021-2035
ALT-PU-2021-2339
AZL-6473
BDU:2022-00270
CVE-2019-17567
DLA-3818-1
MGASA-2021-0265
OESA-2023-1222
OESA-2023-1230
RHSA-2021:4614

Produtos afetados

Alt Linux
Apache Http Server
Astra Linux