Se acaban de publicar dos actualizaciones de Apache, para las ramas
1.3.* y 2.0.*. Estas actualizaciones solucionan varios problemas de
seguridad.
Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows y Novel NetWare.
Las versiones no actualizadas de Apache contienen varios problemas de
seguridad. La recomendación es actualizar cuanto antes a Apache 1.3.27 o
2.0.43.
En concreto, los problemas de seguridad solucionados son:
* 1.3.27:
– Un problema en la gestión de la memoria compartida permite que
cualquier usuario *LOCAL* en la máquina, que pueda ejecutar código
con el UID de Apache (típicamente «nobody»), pueda enviar cualquier
señal UNIX a cualquier proceso del sistema, como «root». También
puede provocar un DoS (Ataque de Denegación de Servicio) sobre la
máquina local, en particular el propio proceso Apache.
Esta vulnerabilidad solo es explotable para usuarios locales.
– Apache permite explotar vulnerabilidades CSS (Cross Site Scripting)
en la página web por defecto cuando se muestra un error 404 (página
inexistente), en dominios que admitan comodines en el DNS.
– Varios desbordamientos de búfer en el código de «ab.c», herramienta
incluida en el sistema para realizar pruebas de carga de un
servidor web. Las vulnerabilidades son explotables cuando se
utiliza «ab» contra un servidor web malicioso.
* 2.0.43:
– Apache permite explotar vulnerabilidades CSS (Cross Site Scripting)
en la página web por defecto cuando se muestra un error 404 (página
inexistente), en dominios que admitan máscaras en el DNS.
– Apache puede devolver el código fuente de un script cuando un
cliente hace un «POST» y tenemos activado DAV para el recurso
en cuestión.
La recomendación es actualizar Apache a la versión 1.3.27 o 2.0.43.
jcea@hispasec.com
Más información:
Apache 1.3.27 Released
http://www.apache.org/dist/httpd/Announcement.html
Apache 2.0.43 Released
http://www.apache.org/dist/httpd/Announcement2.html
Apache HTTP Server Project
http://httpd.apache.org/
Apache HTTP Server Source Code Distributions
http://www.apache.org/dist/httpd/
Deja una respuesta