Gravi Falle in Web Server Apache

Proto: N040820.

Con la presente Yoroi desidera informarla riguardo a gravi vulnerabilità all’interno di Apache httpd, il server http più utilizzato per la realizzazione della applicazioni web moderne. Le criticità sono referenziate con gli identificativi CVE-2020-9490, CVE-2020-11993 e CVE-2020-11984.

A causa di lacune nella gestione della memoria nelle funzionalità “Push Diary” di “mod_http2” e nel modulo “mod_proxy_uwsgi”, un attaccante remoto privo di autenticazione può essere in grado di creare condizioni di disservizio attraverso l’invio di semplici messaggi HTTP/2 e di ottenere esecuzione di codice arbitrario a fronte di particolari richieste dirette al gateway UWSGI (Web Server Gateway Interface).

Il Manutentore ha confermato le problematiche con appositi bollettini e rilasciato aggiornamenti software per le versioni più recenti del web server, in particolare ha rilasciato la versione 2.4.44 in grado di risolvere le problematiche che affliggono Apache HTTP Server da 2.4.20 a 2.4.43. Inoltre, gli aggiornamenti sono stati recepiti dal gestori dei sistemi operativi Unix-based come Red-Hat, SUSE, Canonical.

Per via della potenziale diffusione ed esposizione internet delle tecnologie afflitte e della recente pubblicazione di dettagli tecnici e codici per replicare le vulnerabilità all’interno del programma di ricerca pubblico Google Project Zero, Yoroi consiglia di pianificare l’applicazione degli aggiornamenti resi disponibili dal Manutentore e di valutare la temporanea modifica delle configurazioni impostando la funzionalità "H2Push” a “off" e di impostare i livelli di logging a “info” nel modulo mod_http2.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index