Linode Security Digest 13 - 20 de Janeiro de 2023

No resumo desta semana, discutiremos o seguinte:

• Apache Vulnerabilidades do servidor HTTP;
• uma vulnerabilidade de Overflow Inteiro do Linux Kernel Netfilter; e
• CentOS Painel Web 7 RCE

Apache Vulnerabilidades do Servidor HTTP:

• CVE-2006-20001 - mod_dav fora dos limites de leitura ou escrita de byte zero

Se um cabeçalho de pedido cuidadosamente elaborado puder executar uma leitura ou escrita de memória de um único byte zero num local de memória amontoado para além do valor do cabeçalho enviado, pode causar a falha do processo. Este problema afecta Apache Servidor HTTP 2.4.54 e anteriores, pelo que actualize para 2.4.55 para mitigar o problema.

• CVE-2022-36760 - mod_proxy_ajp Possível pedido de contrabando

A interpretação inconsistente da vulnerabilidade dos Pedidos HTTP ("HTTP Request Smuggling") no mod_proxy_ajp do servidor HTTP Apache permite a um atacante contrabandear pedidos para o servidor AJP para o qual encaminha pedidos. Este problema afecta Apache Servidor HTTP 2.4 versão 2.4.54 e versões anteriores, pelo que actualize para 2.4.55 para corrigir esta vulnerabilidade.

• CVE-2022-37436 - mod_proxy antes de 2.4.55 permite um backend para desencadear a divisão da resposta HTTP

O software não processa correctamente as sequências de caracteres CRLF, que são caracteres de fim de linha. Os atacantes podem enviar um pacote HTTP trabalhado com uma sequência CRLF, causando uma truncagem precoce dos cabeçalhos de resposta e incorporando alguns cabeçalhos no corpo de resposta. Se os cabeçalhos posteriores tiverem algum propósito de segurança, não serão interpretados pelo cliente. Esta questão afecta Apache Servidor HTTP 2.4.54 e versões anteriores, pelo que actualize para 2.4.55 para corrigir esta vulnerabilidade. 

Vulnerabilidade de Overflow Inteiro do Linux Kernel Netfilter

CVE-2023-0179 consiste em um estouro de buffer de pilha devido a uma vulnerabilidade de underflow de inteiro dentro da função nft_payload_copy_vlan, que é invocada com expressões nft_payload desde que uma tag VLAN esteja presente no buffer de soquete atual. A RedHat atribuiu a esta vulnerabilidade uma pontuação CVSS v3 de 7,8, que afecta máquinas que estão nas versões mais recentes de distro, tais como Ubuntu Jammy, Debian Bullseye, Rocky Linux 9, ou máquinas com uma versão do kernel 5.10 LTS. Esta vulnerabilidade não afecta o Debian buster. 

Mitigar esta falha, desactivando os espaços de nomes de utilizadores não privilegiados, impedindo a exploração:

sysctl -w kernel.unprivileged_userns_clone = 0

Centos Painel Web 7 Execução de Código à Distância Vulnerabilidade de Execução

CVE-2022-44877 is a critical vulnerability that affects any CWP below version 0.9.8.1147 and is being exploited in the wild. This vulnerability exists in the login/index.php in CWP and allows remote attackers to execute arbitrary OS commands via shell metacharacters in the login parameter. Researchers released a PoC for this vulnerability to GitHub and Youtube on January 5th, 2023, leading to increased exploitation by threat actors. To mitigate this threat, update to the latest version, v0.9.8.1148, as this affects Centos Web Panel 7 < v0.9.8.1147.