Las versiones del servidor web Apache previas a la 1.3.17 contienen un
error de seguridad que permite que un atacante remoto acceda a
cualquier fichero del sistema, bajo ciertas circunstancias.
Apache es un servidor web «Open Source», disponible para entornos Unix
y Windows, y se trata del servidor web más popular en Internet, con
diferencia. En la última estadística (Diciembre de 2.000) Apache
representa más del 60% de los servidores web de Internet. Por
comparación, el segundo clasificado, el Internet Information Server de
Microsoft, no llega al 20%.
Se acaba de publicar la versión 1.3.17 del servidor, que soluciona
diversos problemas con la gestión de directorios NetWare, y una
vulnerabilidad que afecta al módulo «mod_rewrite», que permitiría el
acceso a ficheros arbitrarios contenidos en el servidor web, si el
administrador de Apache utiliza determinadas reglas de reescritura en
el fichero de configuración del servidor web.
La recomendación es actualizar Apache a 1.3.17.
jcea@hispasec.com
Más información:
Apache
http://httpd.apache.org/
Apache 1.3.17 Released
http://httpd.apache.org/dist/Announcement.html
Cambios
http://httpd.apache.org/dist/CHANGES_1.3
The Netcraft Web Server Survey
http://www.netcraft.com/survey/
