La fundación Apache ha publicado actualizaciones para sus servidores
HTTPD, que solucionan graves problemas de seguridad.
Apache es el servidor web más popular del mundo, con más del 60% de
cuota de mercado. Se trata de un proyecto de Código Abierto, con
versiones disponibles para casi cualquier sistema operativo imaginable.
Las versiones de Apache previas a la 1.3.26 y 2.0.39 son susceptibles a
un ataque realizado a través de cabeceras incorrectas en los «chunked
data». Los «chunked data» (datos troceados) permiten enviar segmentos de
datos de forma paulatina, por ejemplo, si no conocemos el tamaño final
de los datos pero queremos realizar la transmisión a medida que los
vamos obteniendo, en vez de esperar a tenerlos todos. Se trata de una
modalidad de protocolo HTTP poco utilizada.
Las versiones de Apache previas a la 1.3.26 y 2.0.39 no gestionan
adecuadamente la presencia de valores ilegales en la cabeceras «chunked
data». Los efectos que esto provoca son:
a) Si el servidor es 1.3.* y está ejecutándose bajo plataformas Unix y
CPU 32 bits, el ataque sólo consigue matar un proceso Apache hijo. Dado
que Apache 1.3.* está diseñado para utilizar un proceso padre como
monitor, y varios procesos hijos para atender las peticiones en sí, con
cada proceso atendiendo una petición concreta en cada momento, este
ataque simplemente obliga al proceso padre monitor a lanzar un nuevo
proceso hijo. Ello supone un pequeño incremento del consumo de CPU. Se
trataría, por tanto, de un ataque DoS (Denegación de Servicio), pero de
baja incidencia y efectividad, dependiendo del sistema operativo.
b) Si el servidor es 1.3.*, está ejecutándose bajo plataforma UNIX y la
CPU es de 64 bits, el atacante puede lograr, bajo ciertas condiciones y
sistemas operativos, ejecutar código arbitrario en el sistema, con los
privilegios del proceso Apache.
c) Si el servidor es 1.3.* y está ejecutándose bajo MS Windows, el
atacante puede ejecutar código arbitrario en el servidor, con los
privilegios del proceso Apache.
d) Si el servidor es 2.0.*, el atacante puede desencadenar un ataque DoS
(Denegación de Servicio), cuya efectividad depende de la plataforma y de
los detalles de configuración del servidor Apache.
Existen ya «exploits» que aprovechan esta vulnerabilidad. Se recomienda
a todos los usuarios de Apache que actualicen cuanto antes a la versión
1.3.26 o 2.0.39.
Es de destacar que Apache haya publicado actualizaciones de su servidor
web apenas dos días después de que se hiciese pública la vulnerabilidad,
tal y como se publicó en uno de nuestros boletines «una-al-día» del
pasado lunes.
Enhorabuena a la fundación Apache por su velocidad de respuesta, y tirón
de orejas a ISS por publicar la vulnerabilidad sin advertir previamente
a Apache.
jcea@hispasec.com
Más información:
Apache HTTP Server Project
http://httpd.apache.org/
Boletín de seguridad Apache
http://httpd.apache.org/info/security_bulletin_20020617.txt
CERT® Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html
17/06/2002 – Vulnerabilidad en Apache
http://www.hispasec.com/unaaldia.asp?id=1331
Deja un comentario