PT-2022-3376 · Apache+10 · Apache Http Server+10

Brian Moussalli

·

Publicado

2022-06-08

·

Atualizado

2025-05-15

·

CVE-2022-30522

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Apache HTTP Server versão 2.4.53
Descrição
O problema está relacionado ao módulo mod sed no Apache HTTP Server, que pode realizar alocações de memória excessivamente grandes quando configurado para realizar transformações em contextos em que a entrada para o mod sed pode ser muito grande, levando potencialmente a uma interrupção. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço (DoS). A vulnerabilidade está associada ao consumo descontrolado de recursos.
Recomendações
Para o Apache HTTP Server versão 2.4.53, considere desativar o módulo mod sed como uma solução temporária até que um patch esteja disponível para evitar alocações excessivamente grandes de memória e possíveis ataques DoS. Restrinja o acesso a contextos em que a entrada para o mod sed possa ser muito grande para minimizar o risco de exploração.

Exploit

Correção

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-789CWE-770

Identificadores relacionados

ALSA-2022:7647
ALSA-2022:8067
ALT-PU-2022-2087
ALT-PU-2022-2093
ALT-PU-2022-2095
ALT-PU-2023-1260
BDU:2022-04145
BIT-APACHE-2022-30522
CESA-2022_7647
CVE-2022-30522
OESA-2022-1718
OPENSUSE-SU-2022_2302-1
OPENSUSE-SU-2022_2342-1
OPENSUSE-SU-2024:12142-1
RHSA-2022:6753
RHSA-2022:7647
RHSA-2022:8067
RHSA-2022:8840
RHSA-2022_7647
RHSA-2022_8067
RLSA-2022:7647
RLSA-2022:8067
SUSE-SU-2022:2099-1
SUSE-SU-2022:2101-1
SUSE-SU-2022:2302-1
SUSE-SU-2022:2338-1
SUSE-SU-2022:2342-1
USN-5487-1
USN-5487-2
USN-5487-3

Produtos afetados

Alt Linux
Almalinux
Apache Http Server
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu