Las versiones de Apache 2.0.* anteriores a la 2.0.45 son susceptibles a
un grave ataque de denegación de servicio.
Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows, OS/2 y Novell NetWare.
La fundación Apache ha publicado un preaviso para que todos los usuarios
de la serie 2.0.* del servidor Apache actualicen con urgencia a la
versión 2.0.45.
Aparte de problemas menores, la versión 2.0.45 soluciona dos problemas
de seguridad importantes:
* Ataque de denegación de servicio sobre todas las plataformas.
La fundación Apache proporcionará los detalles el próximo 8 de Abril,
y advierte a sus usuarios que actualicen sus sistemas antes de
dicha fecha.
* Filtración de descriptores de ficheros a los CGIs, potencialmente
maliciosos.
Es de destacar que la versión 2.0.45 contiene todavía un ataque de
denegación de servicio que afecta a la versión OS/2 y será solucionado
en la versión 2.0.46 (que aún no existe). Pero el equipo Apache
considera que las vulnerabilidades descubiertas son lo bastante
importantes como para publicar la versión 2.0.45 aún conteniendo
vulnerabilidades conocidas, aunque sean para una plataforma minoritaria.
jcea@hispasec.com
Más información:
Apache 2.0.45 Released
http://www.apache.org/dist/httpd/Announcement2.html
[HACK]Problema de seguridad en Apache. ¿Todos vulnerables?
http://mailman.argo.es/pipermail/hacking/2003-April/001473.html
Unknown vulnerability in filestat.c for Apache running on OS2, versions
2.0 through 2.0.45, allows unknown attackers to cause a denial of
service, possibly related to an error in identifying invalid files.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0134
Apache HTTP Server Source Code Distributions
http://www.apache.org/dist/httpd/
The Apache HTTP Server Project
http://httpd.apache.org/
