miércoles, 21 de junio de 2017

Nuevas versiones de Apache HTTP Server corrigen diversas vulnerabilidades

Apache Software Foundation ha publicado nuevas versiones del servidor web Apache destinadas a solucionar cinco vulnerabilidades importantes que podrían permitir a un atacante evitar restricciones de seguridad o provocar condiciones de denegación de servicio.

Apache es el servidor web más popular del mundo, usado por cerca de la mitad de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.

El primer problema reside en el uso de ap_get_basic_auth_pw() por módulos de terceras partes fuera de la fase de autenticación uqe podría dar lugar a que un atacante pueda evitar los requisitos de autenticación (CVE-2017-3167).

También se corrigen vulnerabilidades de denegación de servicio por desreferencia de puntero nulo en mod_ssl cuando otros módulos llaman ap_hook_process_connection() durante una petición HTTP a un puerto HTTPS (CVE-2017-3169). Y por otras dos sobrelecturas  de búfer en ap_find_token() (con CVE-2017-7668) y mod_mime (CVE-2017-7679).

Por último, una denegación de servicio por desreferencia de puntero nulo (CVE-2017-7659) en mod_http2 a través de peticiones http/2 maliciosas, que solo afecta a Apache 2.4.25.

El equipo de Apache recomienda a los usuarios de la rama 2.2 actualizar a la rama 2.4, a la versión 2.4.26 que además incluye nuevas funcionalidades y mejoras. Esta versión 2.2.33 se considera como versión de mantenimiento y se ofrece para aquellos usuarios que no puedan actualizar a la rama 2.4 en este momento.

Se han publicado parches individuales para la versión 2.2.33 para cada una de las vulnerabilidades:

Las nuevas versiones Apache 2.4.26 como 2.2.33 están disponibles desde:

Más información:

Apache httpd 2.4.26 Released 2017-06-19¶

Fixed in Apache httpd 2.2.33-dev

Fixed in Apache httpd 2.4.26

Changes with Apache 2.4.26

CVE-2017-3167: Apache httpd 2.x ap_get_basic_auth_pw authentication bypass

CVE-2017-3169: Apache httpd 2.x mod_ssl null pointer dereference

CVE-2017-7668: Apache httpd 2.x ap_find_token buffer overread

CVE-2017-7679: Apache httpd 2.x mod_mime buffer overread

CVE-2017-7659: mod_http2 null pointer dereference

Antonio Ropero
Twitter: @aropero