lunes, 26 de julio de 2010

Publicada nueva versión de Apache

Se ha publicado la versión 2.2.16 del servidor web Apache, con objeto de corregir dos vulnerabilidades de denegación de servicio en los módulos "mod_cache" y "mod_dav" y otra de divulgación de información sensible en "mod_proxy_http".

El primer problema reside en la forma en que se procesan las solicitudes por los módulos "mod_cache" y "mod_dav". Un atacante remoto podría causar una denegación de servicio en determinadas condiciones mediante el envío de peticiones HTTP especialmente manipuladas. Hay que señalar que el módulo "mod_cache" se ve afectado solamente si se hace uso de la directiva "CacheIgnoreURLSessionIdentifiers".

También se ha corregido un error en la detección de tiempo de espera en "mod_proxy_http.c" que podría permitir que bajo determinadas condiciones, el servidor devuelva una respuesta destinada a otro usuario. Sólo se ven afectados los sistemas operativos Windows, Netware y OS2.

Se recomienda actualizar a Apache 2.2.16 desde http://httpd.apache.org/download.cgi


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Fixed in Apache httpd 2.2.16
http://httpd.apache.org/security/vulnerabilities_22.html

No hay comentarios:

Publicar un comentario en la entrada