Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Nuevas versiones de Apache 1.3.* y 2.0.*

Nuevas versiones de Apache 1.3.* y 2.0.*

Por Deja un comentario

Se acaban de publicar dos actualizaciones de Apache, para las ramas
1.3.* y 2.0.*. Estas actualizaciones solucionan varios problemas de
seguridad.
Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows y Novel NetWare.

Las versiones no actualizadas de Apache contienen varios problemas de
seguridad. La recomendación es actualizar cuanto antes a Apache 1.3.27 o
2.0.43.

En concreto, los problemas de seguridad solucionados son:

* 1.3.27:

– Un problema en la gestión de la memoria compartida permite que
cualquier usuario *LOCAL* en la máquina, que pueda ejecutar código
con el UID de Apache (típicamente «nobody»), pueda enviar cualquier
señal UNIX a cualquier proceso del sistema, como «root». También
puede provocar un DoS (Ataque de Denegación de Servicio) sobre la
máquina local, en particular el propio proceso Apache.

Esta vulnerabilidad solo es explotable para usuarios locales.

– Apache permite explotar vulnerabilidades CSS (Cross Site Scripting)
en la página web por defecto cuando se muestra un error 404 (página
inexistente), en dominios que admitan comodines en el DNS.

– Varios desbordamientos de búfer en el código de «ab.c», herramienta
incluida en el sistema para realizar pruebas de carga de un
servidor web. Las vulnerabilidades son explotables cuando se
utiliza «ab» contra un servidor web malicioso.

* 2.0.43:

– Apache permite explotar vulnerabilidades CSS (Cross Site Scripting)
en la página web por defecto cuando se muestra un error 404 (página
inexistente), en dominios que admitan máscaras en el DNS.

– Apache puede devolver el código fuente de un script cuando un
cliente hace un «POST» y tenemos activado DAV para el recurso
en cuestión.

La recomendación es actualizar Apache a la versión 1.3.27 o 2.0.43.

Jesús Cea Avión
jcea@hispasec.com

Más información:

Apache 1.3.27 Released
http://www.apache.org/dist/httpd/Announcement.html

Apache 2.0.43 Released
http://www.apache.org/dist/httpd/Announcement2.html

Apache HTTP Server Project
http://httpd.apache.org/

Apache HTTP Server Source Code Distributions
http://www.apache.org/dist/httpd/

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.