El primer problema reside en la forma en que se procesan las solicitudes por los módulos "mod_cache" y "mod_dav". Un atacante remoto podría causar una denegación de servicio en determinadas condiciones mediante el envío de peticiones HTTP especialmente manipuladas. Hay que señalar que el módulo "mod_cache" se ve afectado solamente si se hace uso de la directiva "CacheIgnoreURLSessionIdentifiers".
También se ha corregido un error en la detección de tiempo de espera en "mod_proxy_http.c" que podría permitir que bajo determinadas condiciones, el servidor devuelva una respuesta destinada a otro usuario. Sólo se ven afectados los sistemas operativos Windows, Netware y OS2.
Se recomienda actualizar a Apache 2.2.16 desde http://httpd.apache.org/download.cgi
Laboratorio Hispasec
laboratorio@hispasec.com
laboratorio@hispasec.com
Más información:
Fixed in Apache httpd 2.2.16
http://httpd.apache.org/security/vulnerabilities_22.html
0 comentarios:
Publicar un comentario en la entrada