CVE-2022-22720

Опубликовано: 14 мар. 2022

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Средний

Уязвимость подмены HTTP-запросов в Apache HTTP Server при ошибках обработки запросов

Описание

В Apache HTTP Server обнаружена уязвимость, связанная с некорректным закрытием входящего соединения при возникновении ошибок при обработке тела запроса. Это позволяет злоумышленнику проводить атаки типа HTTP Request Smuggling.

Затронутые версии ПО

Apache HTTP Server 2.4.52 и более старые версии

Тип уязвимости

Подмена HTTP-запросов (HTTP Request Smuggling)

Ссылки

http://seclists.org/fulldisclosure/2022/May/33
Mailing List
Third Party Advisory
http://seclists.org/fulldisclosure/2022/May/35
Mailing List
Third Party Advisory
http://seclists.org/fulldisclosure/2022/May/38
Mailing List
Third Party Advisory
http://www.openwall.com/lists/oss-security/2022/03/14/3
Mailing List
Third Party Advisory
https://httpd.apache.org/security/vulnerabilities_24.html
Vendor Advisory
https://lists.debian.org/debian-lts-announce/2022/03/msg00033.html
Mailing List
Third Party Advisory
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/RGWILBORT67SHMSLYSQZG2NMXGCMPUZO/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/X73C35MMMZGBVPQQCH7LQZUMYZNQA5FO/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z7H26WJ6TPKNWV3QKY4BHKUKQVUTZJTD/
https://security.gentoo.org/glsa/202208-20
Third Party Advisory
https://security.netapp.com/advisory/ntap-20220321-0001/
Third Party Advisory
https://support.apple.com/kb/HT213255
Third Party Advisory
https://support.apple.com/kb/HT213256
Third Party Advisory
https://support.apple.com/kb/HT213257
Third Party Advisory
https://www.oracle.com/security-alerts/cpuapr2022.html
Patch
Third Party Advisory
https://www.oracle.com/security-alerts/cpujul2022.html
Third Party Advisory
http://seclists.org/fulldisclosure/2022/May/33
Mailing List
Third Party Advisory
http://seclists.org/fulldisclosure/2022/May/35
Mailing List
Third Party Advisory
http://seclists.org/fulldisclosure/2022/May/38
Mailing List
Third Party Advisory
http://www.openwall.com/lists/oss-security/2022/03/14/3
Mailing List
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:*

Версия до 2.4.52 (включая)

Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:*

Конфигурация 3

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*

Конфигурация 4

Одно из

cpe:2.3:a:oracle:enterprise_manager_ops_center:12.4.0.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:http_server:12.2.1.3.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:http_server:12.2.1.4.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:zfs_storage_appliance_kit:8.8:*:*:*:*:*:*:*

Конфигурация 5

Одно из

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2020-001:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-001:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-002:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-003:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-004:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-005:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-006:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-007:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-008:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2022-001:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2022-002:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2022-003:*:*:*:*:*:*

cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*

Версия до 10.15.7 (исключая)

cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*

Версия от 11.0 (включая) до 11.6.6 (исключая)

cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*

Версия от 12.0 (включая) до 12.4 (включая)

EPSS

Процентиль: 97%

0.32823

Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-444

Связанные уязвимости

CVE-2022-22720

CVSS3: 9.8

ubuntu

больше 3 лет назад

Apache HTTP Server 2.4.52 and earlier fails to close inbound connection when errors are encountered discarding the request body, exposing the server to HTTP Request Smuggling

CVE-2022-22720

CVSS3: 8.3

redhat

больше 3 лет назад

Apache HTTP Server 2.4.52 and earlier fails to close inbound connection when errors are encountered discarding the request body, exposing the server to HTTP Request Smuggling

CVE-2022-22720

CVSS3: 9.8

msrc

больше 3 лет назад

Описание отсутствует

CVE-2022-22720

CVSS3: 9.8

debian

больше 3 лет назад

Apache HTTP Server 2.4.52 and earlier fails to close inbound connectio ...

RLSA-2022:1049

rocky

около 3 лет назад

Important: httpd:2.4 security update

EPSS

Процентиль: 97%

0.32823

Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-444