Apache Software Foundation y The Apache HTTP Server Project han
anunciado la publicación de la versión 2.0.50 de Apache HTTP Server
(«Apache»).

Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.
Esta nueva versión de Apache está destinada a corregir diferentes bugs
menores y dos vulnerabilidades de seguridad.

El primero de los problemas se refiere a una pérdida de memoria en el
tratamiento de cabeceras http que puede llevar a un ataque de denegación
de servicio debido a un excesivo consumo de memoria. Este problema ya
fue tratado por Hispasec en un boletín recientemente publicado.

La segunda vulnerabilidad corregida se trata de un desbordamiento de
búfer en mod_ssl en el código FakeBasicAuth de un certificado cliente
(confiable) con el argumento DN que exceda los 6K de tamaño. Al igual
que el problema anterior, este fallo también fue tratado en una-al-día
a finales del mes de mayo.

Esta versión es compatible con los módulos compilados para las versiones
2.0.42 y posteriroes. Se recomienda a los administradores de Apache la
actualización a esta nueva versión.

Apache HTTP Server 2.0.50 está disponible en:
http://httpd.apache.org/download.cgi

Antonio Ropero
antonior@hispasec.com

Más información:

una-al-dia (27/06/2004) Denegación de servicio en Apache 2.0.x
http://www.hispasec.com/unaaldia/2072

DoS in apache httpd 2.0.49, yet still apache much better than windows
http://www.guninski.com/httpd1.html

Apache HTTP Server 2.0.50 Released
http://www.apache.org/dist/httpd/Announcement2.html

una-al-dia (30/05/2004) Desbordamiento de búfer en mod_ssl 2.x para Apache 1 y 2
http://www.hispasec.com/unaaldia/2044

Compártelo: