lunes, 21 de julio de 2014

Diversas vulnerabilidades en Apache HTTP Server

Se ha publicado la versión 2.4.10 del servidor web Apache destinada a solucionar cinco fallos de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario o causar denegación de servicio.

Apache es el servidor web más popular del mundo, usado por más del 52% de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.

Se describen las vulnerabilidades a continuación:

  • CVE-2014-0117: Existe un error en el manejo de cabeceras HTTP Connection en el módulo 'mod_proxy' que podría provocar una denegación de servicio en un proxy inverso.
        
  • CVE-2014-3523: Denegación de servicio debido a un fallo en la función 'winnt_accept' del módulo 'WinNT MPM' que podría generar el agotamiento de la memoria disponible.
      
  • CVE-2014-0226: Existe un error de condición de carrera en el módulo 'mod_status' que podría generar un desbordamiento de memoria basado en 'Heap', lo que permitiría ejecutar código arbitrario.
         
  • CVE-2014-0118: Fallo en la función 'deflate_in_filter' del módulo 'mod_deflate' a la hora de gestionar la descompresión de peticiones al servidor, que podría generar un agotamiento de recursos y provocar una denegación de servicio.
         
  • CVE-2014-0231: Denegación de servicio en el módulo 'mod_cgid' al no tener un mecanismo de timeout para scripts CGI.


Más información:

Apache HTTP Server 2.4.10 Released


Fernando Castillo


domingo, 20 de julio de 2014

Boletín de seguridad para Drupal

El equipo de seguridad de Drupal ha solucionado, en las ramas Drupal Core 6 y 7, varias vulnerabilidades clasificadas como críticas o moderadamente críticas; que podrían permitir a un atacante causar denegación de servicio, salto de restricciones y XSS.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

A continuación se describen los fallos:
  • Denegación de servicio en el sistema base
    La característica multisitio determina dinámicamente que fichero de configuración usar basándose en la cabecera HTTP Host. Debido a un fallo de validación de dicha cabecera se podría causar una denegación de servicio. También afecta a los sitios web que no tengan activa esa característica.
       
  • Salto de restricciones de seguridad en el módulo FileExiste un error en el módulo File al no comprobar los permisos cuando se adjunta un fichero previamente subido, pudiendo así obtener acceso a ficheros no permitidos. Afecta solo a Drupal 7.
        
  • Cross-site scripting en la API de formulariosVulnerabilidad de tipo XSS en la API de formularios al no verificar correctamente elementos de tipo 'select'.
        
  • Cross-site scripting en el sistema ajaxVulnerabilidad de tipo XSS no persistente en formularios que contengan un campo de tipo 'file' y un campo de tipo texto con ajax habilitado. Afecta solo a Drupal 7.

Está pendiente la asignación de CVEs.

Se recomienda actualizar a las versiones Drupal core 6.32 o Drupal core 7.29.

Más información:

SA-CORE-2014-003 - Drupal core - Multiple vulnerabilities



Fernando Castillo