Desbordamiento de búfer en "mod_ssl"

Se ha descubierto un desbordamiento de búfer en «mod_ssl» que permite,
bajo circunstancias muy especiales, la ejecución de código en el
servidor.
«mod_ssl» es un módulo Apache que le dota de la capacidad de soportar
sesiones SSL (Secure Socket Layer, el protocolo utilizado en HTTPS).

Las versiones de «mod_ssl» previas a la 2.8.7 utilizan la librería
«OpenSSL» de forma insegura, permitiendo un desbordamiento de búfer en
la gestión de la caché de sesiones SSL. Aunque la posibilidad de
explotación del problema parece bastante complicada en un entorno de
producción, la versión 2.8.7 de «mod_ssl» soluciona el problema de forma
proactiva.

La vulnerabilidad afecta también a «apache-ssl», ya que es un proyecto
basado en «mod_ssl». En este caso la recomendación es actualizar a la
versión 1.3.22+1.46.

Más información:

mod_ssl Buffer Overflow Condition (Update Available)
http://archives.neohapsis.com/archives/bugtraq/2002-02/0313.html

Apache-SSL buffer overflow condition (all versions prior to 1.3.22+1.46)
http://www.apache-ssl.org/advisory-20020301.txt

Apache SSL
http://www.apache-ssl.org/

MOD_SSL
http://www.modssl.org/

Acerca de Hispasec

Hispasec Ha escrito 6987 publicaciones.

• View all posts by Hispasec →
• Blog