La Fundación Apache publica dos nuevas versiones (2.0.49 y
1.3.31) del servidor web más utilizado en Internet.
Simultáneamente también se publica una nueva versión de mod_ssl.
Apache es el software más utilizado en Internet para actuar como
servidor de contenido para la web. Las últimas estadísticas
publicadas por Netcraft, hace escasamente unas semanas, lo dejan
bien claro: el 67,05% de los servidores web visibles en Internet
utilizan alguna versión de Apache. Haciendo números de forma
rápida esto significa que a principios de este mes había casi 34
millones de servidores en Internet utilizando Apache. De hecho,
son varios los analistas que ya califican abiertamente a Apache
como la «killer application» del mundo del software libre.
Actualmente Apache se distribuye en dos «ramas» separadas de
código, que corresponden a la versión 2.0.xx y la versión 1.3.xx.
La versión 1.3 corresponde a la edición clásica de Apache,
especialmente optimizada para las plataformas Unix. En la
versión 2.0 se introducen cambios en el funcionamiento interno
que permiten su utilización en otros sistemas operativos no
derivados de Unix.
Si el servidor web es una plataforma basada en Unix, el
rendimiento de ambas versiones de Apache es prácticamente
equivalente. En cambio, en otras plataformas como Windows y OS/2,
la versión 2.0 ofrece un rendimiento notablemente superior.
Apache 2.0.49
Esta nueva versión soluciona tres problemas de seguridad
detectados en las versiones anteriores de Apache 2.0.*.
La primera de las vulnerabilidades corresponde una condición de
carrera en el proceso de conexiones con un corto periodo de vida
y que puede ser utilizada para provocar un ataque de denegación
de servicio. Esta vulnerabilidad afecta los servidores Apache
ejecutándose en determinadas versiones de Solaris, AIX y Tru64.
La segunda vulnerabilidad radica en la posibilidad de que un
usuario remoto pueda añadir caracteres arbitrarios en los
mensajes de error escritos en el archivo de registro de errores
del servidor. Esta vulnerabilidad puede ser utilizada para atacar
algunos emuladores de Terminal en el momento que se visualiza el
contenido de este archivo de registro de errores.
La tercera y última vulnerabilidad es una pérdida de memoria,
explotable de forma remota, en el módulo mod_ssl. Esto puede ser
utilizado para consumir toda la memoria del servidor, provocando
un ataque de denegación de servicio.
Apache 1.3.31
En lo que se refiere a la versión «clásica» de Apache, las
vulnerabilidades de seguridad solucionadas son cuatro.
La primera se encuentra en el módulo mod_digest y consiste en que
no se verifica correctamente las respuestas enviadas por el
cliente remoto cuando se utiliza AuthNonce.
La segunda vulnerabilidad radica en la posibilidad de que un
usuario remoto pueda añadir caracteres arbitrarios en los
mensajes de error escritos en el archivo de registro de errores
del servidor. Esta vulnerabilidad puede ser utilizada para atacar
algunos emuladores de Terminal en el momento que se visualiza el
contenido de este archivo de registro de errores.
La tercera vulnerabilidad radica en la posibilidad de que el
servidor web deje de procesar nuevas conexiones hasta que se
liberen los sockets bloqueados por un atacante remoto bajo
circunstancias muy especiales.
La cuarta y última vulnerabilidad se encuentra en las reglas de
filtro de direcciones IP cuando se indican sin especificar su
máscara de red.
Mod_ssl
Simultáneamente a la publicación de Apache 1.3.31, también se ha
publicado una nueva versión de mod_ssl. Este es un modulo para la
versión 1.3.xx de Apache que incorpora la capacidad criptográfica
necesaria para que el servidor web pueda utilizar los protocolos
SSL (SSL v2/v3) y TLS (TLS v1) para el cifrado del tráfico.
Mod_ssl se utiliza para la configuración de servidores HTTPS.
xavi@hispasec.com
Deja un comentario