lunes, 12 de agosto de 2002

Se publica una nueva versión de Apache 2.0

Se acaba de hacer pública una nueva versión de Apache 2.0, concretamente
la versión 2.0.40. Esta versión soluciona un grave problema de seguridad
que afecta a los usuarios Apache en plataformas no UNIX.
Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo Microsoft Windows.

Las versiones de Apache 2.0 previas a la 2.0.40 contienen una
vulnerabilidad que puede afectar al funcionamiento del servidor y
desvelar información confidencial contenida en el mismo. La fundación
Apache no ha hecho públicos aún los detalles exactos de la
vulnerabilidad, en espera de que los administradores de sistemas
Apache actualicen sus instalaciones.

La recomendación Hispasec es que los usuarios de Apache 2.0 actualicen
sus sistemas cuanto antes a Apache 2.0.40. Aunque oficialmente la
vulnerabilidad afecta exclusivamente a sistemas no UNIX (por ejemplo,
Windows, Netware y OS/2), nuestra recomendación es actualizar todos los
servidores Apache 2.0, para mayor seguridad.

Los usuarios de Apache 1.3 no necesitan actualizar sus instalaciones, ya
que estas versiones no se ven afectadas por esta vulnerabilidad.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Apache 2.0 vulnerability affects non-Unix platforms
http://httpd.apache.org/info/security_bulletin_20020809a.txt

Apache HTTP Server Project
http://httpd.apache.org/

Código fuente
http://www.apache.org/dist/httpd/

Vulnerability in Apache 2.0 through 2.0.39 on Windows, OS2, and Netware
allows remote attackers to bypass security restrictions and obtain
sensitive data.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0661