آسیب‌پذیری در وب سرور apache

آسیب‌پذیری در وب سرور apache 1.آسیب‌پذیری CVE-2022-23943 در وب سرور آپاچی

یک آسیب پذیری بحرانی (9.8 از 10) در نسخه های 2.4.0 تا 2.4.52 در ماژول mod_sed وب سرور apache وجود دارد که به مهاجم این امکان را می دهد تا حافظه heap را با داده های دلخواه بازنویسی نماید.

  

                                                                             مشخصات آسیب‌پذیری CVE-2022-23943     

ردیف

عنوان

مقدار

1

تاریخ انتشار آسیب‌پذیری

2022-03-14

2

تاریخ بروزسانی آسیب­پذیری

2022-03-25

2

شدت آسیب­پذیری (طبقcvss  نسخه 3)

بحرانی (9.8 از 10)

4

نسخه‌های آسیب‌پذیر

از 2.4.0 تا 2.4.52

5

نوع ضعف

Out-of-bounds Write

Integer Overflow or Wraparound

    

 

2.آسیب‌پذیری CVE-2022-22721 در وب سرور آپاچی     

یک آسیب­ پذیری بحرانی (9.8 از 10) در نسخه­ های قبل از 2.4.52 وب سرور آپاچی وجود دارد. اگر پارامتر   LimitXMLRequestBody که بصورت پیش­فرض با مقدار 1 مگابایت مقداردهی شده است، با مقداری بزرگتر از 350 مگابایت مقداردهی شود (در سیستم ­های 32 بیتی) یک سرریز رخ می­دهد.

 

                       مشخصات آسیب‌پذیری CVE-2022-22721

ردیف

عنوان

مقدار

1

تاریخ انتشار آسیب‌پذیری

2022-03-14

2

تاریخ بروزسانی آسیب­پذیری

2022-03-25

2

شدت آسیب­پذیری (طبقcvss  نسخه 3)

بحرانی (9.8 از 10)

4

نسخه‌های آسیب‌پذیر

نسخه های قبل از 2.4.52

5

نوع ضعف

Integer Overflow or Wraparound

 

 

3.آسیب‌پذیری CVE-2022-22720 در وب سرور آپاچی   

در نسخه­ های ماقبل 2.4.52 وب سرور apache چنانچه نیاز به فیلتر بدنه درخواست باشد و اگر این فیلتر با خطا مواجه گردد، در این صورت وب سرور apache موفق به بستن کانکشن­ های ورودی نخواهد بود. این امر به مهاجم امکان حمله HTTP Request Smuggling را فراهم می­سازد.

 

                مشخصات آسیب‌پذیری CVE-2022-22720

ردیف

عنوان

مقدار

1

تاریخ انتشار آسیب‌پذیری

2022-03-14

2

تاریخ بروزسانی آسیب­پذیری

2022-03-25

2

شدت آسیب­پذیری (طبقcvss  نسخه 3)

بحرانی ( 9.8از 10)

4

نسخه‌های آسیب‌پذیر

نسخه های قبل از 2.4.52

5

نوع ضعف

Inconsistent Interpretation of HTTP Requests ('HTTP Request Smuggling')

 

 

4.آسیب‌پذیری CVE-2022-22719 در وب سرور آپاچی

یک آسیب­پذیری با شدت بالا (7.5 از 10) در نسخه 2.4.52 و نسخه­ های قبلی وب سرور آپاچی وجود دارد که مهاجم از طریق ارسال یک درخواستی که قسمت بدنه (body) آن دستکاری شده است، امکان خواندن مقادیر موجود در آدرس­های تصادفی از حافظه را بدست می­آورد که درنهایت منجر به crash شدن وب سرور آپاچی می­شود.

 

                               مشخصات آسیب‌پذیری CVE-2022-22719

ردیف

عنوان

مقدار

1

تاریخ انتشار آسیب‌پذیری

2022-03-14

2

تاریخ بروزسانی آسیب­پذیری

2022-03-25

2

شدت آسیب­پذیری (طبقcvss  نسخه 3)

بالا ( 7.5از 10)

4

نسخه‌های آسیب‌پذیر

نسخه های قبل از 2.4.52

5

نوع ضعف

Improper Initialization

       

جهت رفع این مجموعه آسیب­ پذیری که در نسخه های 2.4.52 و ماقبل وب سرور آپاچی وجود دارد، لازم است در سرورهایی که از این وب سرور استفاده شده است، آپاچی به آخرین نسخه جاری و stable که 2.4.53 است و در برابر هر چهار مورد آسیب پذیری مقاوم هست، ارتقاء یابد

Computer Emergency Response Team (CERT) of Mohaghegh Ardabili as a Cyber security Laboratory has started its activity in various cyber-sec fields such as cyber threat hunting, digital forensics and incident response, web and network penetration testing since 2015.

This center relies on the network and system security research group of the computer engineering and information technology department and using the experience of experienced and expert professors, top graduates and elite students of Mohaghegh Ardabili University to achieve the goals of providing services to organizations, offices and companies.

سازمان فناوری اطلاعات ایران
مرکز ماهر
دانشگاه محقق اردبیلی