Se acaba de publicar la versión 2.0.44 de Apache, que soluciona graves
problemas de seguridad en entornos MS Windows.
Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows y Novel NetWare.
Las versiones previas de Apache 2.0.* contienen las siguientes
vulnerabilidades:
* Una verificación incorrecta en la función «ap_directory_walk» permite
un ataque de denegación de servicio contra el servidor Apache, cuando
éste está siendo ejecutado bajo la plataforma MS Windows 9x o
Millenium. Se produce cuando el atacante solicita una URL referida a
un fichero reservado, como «aux» o «com1».
* Igualmente, bajo MS Windows 9x o Millenium, es posible conseguir que
el servidor ejecute código arbitrario mediante la redirección de un
CGI.
* Bajo todas las versiones de MS Windows, Apache puede devolver ficheros
arbitrarios cuando se le envía una URL con caracteres ilegales, como
el signo «<".
Estas vulnerabilidades no afectan a las versiones 1.3.* de Apache. La
recomendación es que todos los usuarios de Apache 2.0.* actualicen
cuanto antes a la versión 2.0.44, ya disponible, sobre todo si el
servidor Apache se despliega en entornos MS Windows.
jcea@hispasec.com
Más información:
Apache HTTP Server Path Parsing Errata
http://www.securitybugware.org/Other/5947.html
Apache before 2.0.44, when running on unpatched Windows 9x and Me
operating systems, allows remote attackers to cause a denial of service
or execute arbitrary code via an HTTP request containing MS-DOS device
names.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0016
Apache 2.0 before 2.0.44 on Windows platforms allows remote attackers to
obtain certain files via an HTTP request that ends in certain illegal
characters such as «>», which causes a different filename to be
processed and served.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0017
Apache Web Server 2.x Windows Device Access Flaw Lets Remote Users Crash
the Server or Possibly Execute Arbitrary Code
http://www.securitytracker.com/alerts/2003/Jan/1005963.html
Apache Web Server Path Parsing Flaw May Allow Remote Users to Execute
Code in Certain Configurations
http://www.securitytracker.com/alerts/2003/Jan/1005962.html
Apache 2.0.44 Released
http://apache.slashdot.org/article.pl?sid=03/01/21/1446233
Apache 2.0.44 Released
http://www.apache.org/dist/httpd/Announcement2.html
Apache HTTP Server Source Code Distributions
http://httpd.apache.org/dist/httpd
Apache
http://httpd.apache.org/
Deja una respuesta