Linode Security Digest 13 - 20 de janeiro de 2023

No resumo desta semana, discutiremos o seguinte:

• Apache Vulnerabilidades do servidor HTTP;
• uma vulnerabilidade de transbordamento total do Netfilter Linux Kernel; e
• CentOS Painel Web 7 RCE

Apache Vulnerabilidades do servidor HTTP:

• CVE-2006-20001 - mod_dav fora dos limites de leitura ou escrita de zero byte

Se um cabeçalho de pedido cuidadosamente elaborado puder executar uma leitura ou gravação de memória de um único byte zero em um local de memória amontoado além do valor do cabeçalho enviado, isso pode causar o travamento do processo. Este problema afeta Apache Servidor HTTP 2.4.54 e anteriores, portanto, atualize para 2.4.55 para mitigar.

• CVE-2022-36760 - mod_proxy_ajp Possível contrabando de pedidos

Interpretação inconsistente da vulnerabilidade das solicitações HTTP ('Contrabando de solicitações HTTP') no mod_proxy_ajp do servidor HTTP Apache permite que um atacante contrabandeie solicitações para o servidor AJP para o qual ele encaminha solicitações. Este problema afeta o servidor HTTP 2.4 versão 2.4.54 do Apache e versões anteriores, portanto, atualize para 2.4.55 para corrigir esta vulnerabilidade.

• CVE-2022-37436 - mod_proxy antes de 2.4.55 permite um backend para acionar a divisão da resposta HTTP

O software não processa corretamente as seqüências de caracteres CRLF, que são caracteres de fim de linha. Os atacantes podem enviar um pacote HTTP criado com uma seqüência CRLF, causando o truncamento precoce dos cabeçalhos de resposta e incorporando alguns cabeçalhos no corpo de resposta. Se os cabeçalhos posteriores tiverem algum propósito de segurança, eles não serão interpretados pelo cliente. Esta questão afeta Apache Servidor HTTP 2.4.54 e versões anteriores, portanto atualize para 2.4.55 para corrigir esta vulnerabilidade. 

Vulnerabilidade do Netfilter Linux Kernel Integer Overflow

CVE-2023-0179 consiste em estouro de buffer de pilha devido à vulnerabilidade de subfluxo de inteiro dentro da função nft_payload_copy_vlan, que é invocada com expressões nft_payload, desde que umVLAN está presente no buffer de soquete atual. A RedHat deu a essa vulnerabilidade uma pontuação CVSS v3 de 7,8, que afeta máquinas que estão nas versões mais recentes da distro, como Ubuntu Jammy Debian Bullseye, Rocky Linux 9 ou máquinas com kernel versão 5.10 LTS. Esta vulnerabilidade não afeta Debian Buster. 

Mitigar esta falha, desativando os espaços de nomes de usuários sem privilégios, impedindo a exploração:

sysctl -w kernel.unprivileged_userns_clone = 0

Centos Painel Web 7 Execução de código remoto Vulnerabilidade de execução

CVE-2022-44877 is a critical vulnerability that affects any CWP below version 0.9.8.1147 and is being exploited in the wild. This vulnerability exists in the login/index.php in CWP and allows remote attackers to execute arbitrary OS commands via shell metacharacters in the login parameter. Researchers released a PoC for this vulnerability to GitHub and Youtube on January 5th, 2023, leading to increased exploitation by threat actors. To mitigate this threat, update to the latest version, v0.9.8.1148, as this affects Centos Web Panel 7 < v0.9.8.1147.