Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Actualización de seguridad para Apache 2.x

Actualización de seguridad para Apache 2.x

Por Deja un comentario

La Fundación Apache publica una actualización del servidor web Apache 2.x, que elimina dos vulnerabilidades de seguridad que pueden ser utilizadas en ataques de denegación de servicio.

Apache es el software para servidores web más popular existente en la actualidad. Según las estadísticas de Netcraft, en mayo de 2003 existen más de 25 millones de servidores web que utilizan Apache accesibles en Internet, lo que representa más del 60% del total.

En la actualidad existen dos «ramas» del servidor web: Apache 1.3.x y Apache 2.0.x. Esta última es una importante actualización de las versiones 1.3, pensada para ofrecer algunas prestaciones nuevas (como la utilización de threads, de forma que se mejora la capacidad de escalabilidad), una mayor compatibilidad en entornos no Unix (Windows, OS/2, BeOS…), soporte de Ipv6, etc. Por otra parte, Apache 2.0.x viene a solucionar algunas de las principales limitaciones o situaciones problemáticas de Apache 1.3.x, como pueden ser los problemas de prioridad de los módulos.

Acaba de publicarse una nueva versión de la «rama» 2.0 que tiene por objetivo solucionar dos vulnerabilidades de seguridad que pueden ser utilizadas en ataques de denegación del servicio.

La primera de las nuevas vulnerabilidades, que afecta a las versiones 2.0.37 y superiores hasta la 2.0.45, provoca la detención inesperada del servidor y puede ser utilizada por un atacante remoto. No se han publicado los detalles específicos de esta vulnerabilidad, que se harán públicos el 30 de mayo.

La segunda nueva vulnerabilidad afecta a las versiones 2.0.40 y posteriores hasta la 2.0.45 en las plataformas Unix. Se trata de un problema en el módulo de autenticación básica y puede ser utilizado por un atacante remoto para provocar una condición de denegación de servicio, impidiendo la validación de los usuarios hasta que Apache no sea reinicio.

Por otra parte, esta versión incluye las actualizaciones de seguridad específicas para la versión de OS/2 de Apache que permiten eliminar el problema reportado a principios del pasado mes de abril (ver el boletín del pasado 4 de abril).

Esta nueva versión, ya disponible, puede descargarse en http://httpd.apache.org/download.cgi. Desde Hispasec aconsejamos la descarga e instalación de esta nueva versión, para evitar posibles ataques de denegación de servicio.

Xavier Caballé
xavi@hispasec.com

Más información:

Apache 2.0.46 Released
http://www.apache.org/dist/httpd/Announcement2.html

una-al-día (04-04-03): Actualización urgente a Apache 2.0.45
http://www.hispasec.com/unaaldia/1622

Acerca de Hispasec

Hispasec Ha escrito 6987 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.