Icono del sitio Una al Día

Actualización de seguridad de Apache 2.0.*

Hispasec

La fundación Apache acaba de publicar la versión 2.0.47 de su servidor,
que soluciona varios problemas de seguridad importantes.

Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows, OS/2 y Novell NetWare.

Además de solucionar numerosos bugs, los problemas de seguridad
eliminados son:

* Cuando en un directorio se configura un criptosistema más «fuerte» que
el configurado por defecto, bajo ciertas secuencias de renegociación y
dependiendo de la configuración del servidor, es posible que se
seleccione incorrectamente el criptosistema más «débil».

* Debido a un bug en «prefork MPM» (uno de los modelos de trabajo de
Apache), es posible crear una situación de denegación de servicio
temporal provocando ciertos errores en la llamada al sistema «accept()».

* Ataque de denegación de servicio en el módulo de proxy FTP, si el
destino es IPv6 y el módulo es incapaz de crear el «socket».

* Posibilidad de ataque DoS (Denegación de Servicio) debido a un bucle
infinito por redirecciones internas y subpeticiones anidadas.

Se recomienda a todos los usuarios de Apache 2.0.* que actualicen a la
versión 2.0.47. Estos problemas de seguridad no afectan a la serie 1.3.*
del servidor.

Jesús Cea Avión
jcea@hispasec.com

Más información:

Apache 2.0.47 Released
http://www.apache.org/dist/httpd/Announcement2.html

Apache 2 before 2.0.47, when running on an IPv6 host, allows attackers
to cause a denial of service when the FTP proxy server fails to create
an IPv6 socket.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0254

The prefork MPM in Apache 2 before 2.0.47 does not properly handle
certain errors from accept, which could lead to a denial of service.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0253

Apache 2 before 2.0.47, and certain versions of mod_ssl for Apache 1.3,
do not properly handle «certain sequences of per-directory
renegotiations and the SSLCipherSuite directive being used to upgrade
from a weak ciphersuite to a strong one,» which could cause Apache to
use the weak ciphersuite.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0192

Acerca de Hispasec

Hispasec Ha escrito 7038 publicaciones.

Salir de la versión móvil