La fundación Apache acaba de publicar la versión 1.3.28 de su servidor
web, que soluciona varios problemas de seguridad importantes.
Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows, OS/2 y Novell NetWare.
Además de solucionar numerosos «bugs», se han eliminado también los
siguientes problemas de seguridad:
* Bajo Microsoft Windows y OS/2 se ha eliminado un DoS (ataque de
denegación de servicio) sobre «rotatelogs». Explotado, el ataque
permite detener la grabación de logs.
* Se ha eliminado una posibilidad de DoS sobre el servidor, limitando
el número de redirecciones internas y subpeticiones.
* Tratamiento más seguro de los descriptores de ficheros accesibles
a procesos externos, como CGI’s.
* Se elimina la posibilidad de caídas o retardos en el procesado
de nuevas conexiones cuando se eliminaba un proceso Apache hijo.
* Solucionadas algunas posibilidades de desbordamiento de búfer
en «htdigest».
* Mejor tratamiento en la gestión de la terminación de subprocesos.
La recomendación es que todos los administradores de servidores Apache
1.3.* actualicen a la versión 1.3.28. Las instalaciones 2.0.* no
requieren actualización.
jcea@hispasec.com
Más información:
Changes with Apache 1.3.28
http://www.apache.org/dist/httpd/CHANGES_1.3
Apache 1.3.28 Released
http://www.apache.org/dist/httpd/Announcement.html
Apache HTTP Server Project
http://httpd.apache.org/
Apache HTTP Server Source Code Distributions
http://www.apache.org/dist/httpd/
Deja un comentario