miércoles, 3 de septiembre de 2014

Diversas vulnerabilidades en Apache HTTP Server

Apache Software Foundation ha publicado la versión 2.2.29 del servidor web Apache, destinada a solucionar cuatro fallos de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario o causar denegación de servicio. 

Apache es el servidor web más popular del mundo, usado por más del 52% de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.

Esta versión corrige vulnerabilidades de denegación de servicio en los módulos mod_deflate (con CVE-2014-0118) y mod_cgid (con CVE-2014-0231). Una condición de carrera en el tratamiento del "scoreboard" que puede dar lugar a desbordamientos de búfer (con CVE-2014-0226) y un problema que podría permitir la falsificación de cabeceras HTTP (con CVE-2013-5704).

El equipo de Apache hace notar que no se ha publicado la versión 2.2.28. Igualmente recomienda a los usuarios de la rama 2.2 actualizar a la rama 2.4 (según Apache la mejor versión disponible). Esta versión 2.2.29 se considera como versión de mantenimiento y se ofrece para aquellos usuarios que no puedan actualizar a la rama 2.4 en este momento. Algunas de las vulnerabilidades corregidas, ya fueron solucionadas en la rama 2.4 el pasado mes de julio.
Tanto Apache 2.4 como 2.2.29 están disponibles desde:

Más información:

Apache HTTP Server 2.2.29 Released

una-al-dia (21/07/2014) Diversas vulnerabilidades en Apache HTTP Server



Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada