miércoles, 18 de abril de 2012

Nueva versión de Apache HTTP Server

Apache acaba de presentar la última actualización de su rama 2.4, en concreto, se ha publicado la versión 2.4.2.

Apache HTTP Server es el software para servidores HTTP multiplataforma más utilizado en la actualidad. Según las estadísticas de Netcraft en febrero, más de la mitad de los sites activos, concretamente 57.45% hacían uso de este software.

La nueva versión trae consigo gran cantidad de pequeños arreglos y nuevas funcionalidades, tanto en el núcleo de la aplicación como en muchos de los módulos que se incluyen por defecto. Algunos de los cambios han afectado a módulos como 'mod_proxy', 'mod_ssl' o 'mod_session' entre muchos otros. Otro cambio se ha producido en la directiva 'DirectoryIndex' con el valor 'disabled', la encargada de evitar que pueda ser listado el contenido de un directorio. El cambio propicia que la directiva se anteponga ahora a todas las configuraciones anteriores, y no sólo a las de anteriores secciones.

Con respecto a las actualizaciones de seguridad, en este caso vemos que solamente se ha corregido un fallo:

  • CVE-2012-0883: Relacionada con el manejo incorrecto de la variable  de entorno 'LD_LIBRARY_PATH'. El fallo podría permitir a un atacante  buscar DSO (dinamyc shared object) en el directorio actual y ejecutar así código arbitrario  con los permisos con los que esté funcionando actualmente Apache. Básicamente, un atacante local podría engañar a la variable para que apunte a un directorio con librerías diferentes y por tanto, ejecutar el código en ellas cuando se lanza por ejemplo, apachectl.

Más información:

Changes with Apache 2.4.2



Javier Rascón

No hay comentarios:

Publicar un comentario en la entrada