sábado, 18 de marzo de 2000

Nuevo Apache 1.3.12

Se ha hecho pública la última versión del servidor web APACHE, 1.3.12,
cuyos principales cambios se centran en la protección de la
vulnerabilidad "cross site scripting".
Esta vulnerabilidad fue descrita con detalle en el boletín "una-al-dia"
de HispaSec del 13 de Marzo. Aunque Apache propiamente dicho no es
vulnerable a este tipo de ataques, la nueva versión mejora la gestión de
"charset", para evitar el tipo de ambigüedades descritas en el boletín
citado. También se normalizan las entradas provenientes de la conexión
de usuario.

Esta versión de Apache incorpora una nueva directiva: AddDefaultCharset.
Esta directiva permite, entre otras cosas, insertar un "charset" por
defecto en aquellas páginas que no lo incorporen, algo bastante
habitual. Lo más lógico es incluir la siguiente directiva en la
configuración del nuevo Apache:

AddDefaultCharset iso-8859-1

Recordamos a nuestros lectores que "iso-8859-1" es equivalente al juego
de caracteres "latin-1", que se aplica a la mayoría de los países
occidentales, incluyendo a España.


Más Información:

Apache
Servidor Apache
Páginas dinámicas y usuarios maliciosos
AddDefaultCharset directive



Jesús Cea Avión
jcea@hispasec.com



No hay comentarios:

Publicar un comentario en la entrada