Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Nueva versión de Apache 2.0.*

Nueva versión de Apache 2.0.*

Por Deja un comentario

Se acaba de publicar la versión 2.0.44 de Apache, que soluciona graves
problemas de seguridad en entornos MS Windows.

Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows y Novel NetWare.

Las versiones previas de Apache 2.0.* contienen las siguientes
vulnerabilidades:

* Una verificación incorrecta en la función «ap_directory_walk» permite
un ataque de denegación de servicio contra el servidor Apache, cuando
éste está siendo ejecutado bajo la plataforma MS Windows 9x o
Millenium. Se produce cuando el atacante solicita una URL referida a
un fichero reservado, como «aux» o «com1».

* Igualmente, bajo MS Windows 9x o Millenium, es posible conseguir que
el servidor ejecute código arbitrario mediante la redirección de un
CGI.

* Bajo todas las versiones de MS Windows, Apache puede devolver ficheros
arbitrarios cuando se le envía una URL con caracteres ilegales, como
el signo «<".

Estas vulnerabilidades no afectan a las versiones 1.3.* de Apache. La
recomendación es que todos los usuarios de Apache 2.0.* actualicen
cuanto antes a la versión 2.0.44, ya disponible, sobre todo si el
servidor Apache se despliega en entornos MS Windows.

Jesús Cea Avión
jcea@hispasec.com

Más información:

Apache HTTP Server Path Parsing Errata
http://www.securitybugware.org/Other/5947.html

Apache before 2.0.44, when running on unpatched Windows 9x and Me
operating systems, allows remote attackers to cause a denial of service
or execute arbitrary code via an HTTP request containing MS-DOS device
names.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0016

Apache 2.0 before 2.0.44 on Windows platforms allows remote attackers to
obtain certain files via an HTTP request that ends in certain illegal
characters such as «>», which causes a different filename to be
processed and served.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0017

Apache Web Server 2.x Windows Device Access Flaw Lets Remote Users Crash
the Server or Possibly Execute Arbitrary Code
http://www.securitytracker.com/alerts/2003/Jan/1005963.html

Apache Web Server Path Parsing Flaw May Allow Remote Users to Execute
Code in Certain Configurations
http://www.securitytracker.com/alerts/2003/Jan/1005962.html

Apache 2.0.44 Released
http://apache.slashdot.org/article.pl?sid=03/01/21/1446233

Apache 2.0.44 Released
http://www.apache.org/dist/httpd/Announcement2.html

Apache HTTP Server Source Code Distributions
http://httpd.apache.org/dist/httpd

Apache
http://httpd.apache.org/

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.