PT-2022-3377 · Apache+10 · Apache Http Server+10
Ronald Crane
·
Publicado
2022-06-08
·
Atualizado
2026-02-23
·
CVE-2022-28615
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
Servidor HTTP Apache versões 2.4.53 e anteriores
Descrição
O problema está relacionado a uma leitura além dos limites na função
ap strcmp match() quando recebe um buffer de entrada extremamente grande. Isso pode causar a falha do servidor ou a divulgação de informações. Embora nenhum código distribuído com o servidor possa ser forçado a realizar tal chamada, módulos de terceiros ou scripts Lua que utilizem ap strcmp match() podem ser afetados. Um invasor pode explorar essa vulnerabilidade enviando uma solicitação HTTP especialmente criada, o que pode levar a uma negação de serviço ou ao acesso não autorizado a informações protegidas.Recomendações
Para as versões 2.4.53 e anteriores do Apache HTTP Server, considere desativar o uso da função
ap strcmp match() em módulos de terceiros ou scripts Lua até que um patch esteja disponível. Restrinja o acesso a módulos que utilizam essa função para minimizar o risco de exploração. Evite usar módulos de terceiros ou scripts Lua que dependam de ap strcmp match() até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Out of bounds Read
Integer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Apache Http Server
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu