Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Nueva actualización de Apache HTTP Server

Nueva actualización de Apache HTTP Server

Por Deja un comentario

Apenas una semana desde la última actualización, la “Apache Software
Foundation” y “The Apache HTTP Server Project” han anunciado la
publicación de la versión 2.0.52 de Apache HTTP Server (“Apache”).

Apache es el servidor web más popular del mundo, disponible en
código fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.
En Septiembre de 2004, Apache era la elección de casi el 68% de los
servidores web de Internet.

La nueva versión de Apache corrige una vulnerabilidad de seguridad
introducida de forma inadvertida en la versión anterior. La
vulnerabilidad permite que un usuario remoto acceda a recursos
protegidos a pesar de lo que se indique en la configuración Apache. El
problema afecta exclusivamente a la versión 2.0.51 de este popular
servidor web.

Los administradores de Apache 2.0.51 pueden recompilar el servidor
tras aplicar el siguiente parche:



 SECURITY: CAN-2004-0811 (cve.mitre.org)

 Fix merging of the Satisfy directive, which was applied to
 the surrounding context and could allow access despite configured
 authentication. (a regression in 2.0.51)

 PR: 31315
 Submitted by: Rici Lake 

 --- httpd-2.0/server/core.c 2004/08/31 08:16:56 1.225.2.27
 +++ httpd-2.0/server/core.c 2004/09/21 13:21:16 1.225.2.28
 @@ -351,9 +351,13 @@
 /* Otherwise we simply use the base->sec_file array
 */
 
 + /* use a separate ->satisfy[] array either way */
 + conf->satisfy = apr_palloc(a, sizeof(*conf->satisfy) * METHODS);
 for (i = 0; i < METHODS; ++i) {
 if (new->satisfy[i] != SATISFY_NOSPEC) {
 conf->satisfy[i] = new->satisfy[i];
 + } else {
 + conf->satisfy[i] = base->satisfy[i];
 }
 }

No obstante, Hispasec recomienda a los administradores de servidores
Apache 2.0.* que actualicen a la versión 2.0.52 que, además del problema
de seguridad descrito, soluciona otros bugs menores.

Jesús Cea Avión
jcea@hispasec.com

Más información:

Fix merging of the Satisfy directive, which was applied to
the surrounding context and could allow access despite configured
authentication.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0811

Changes with Apache 2.0.52
http://www.apache.org/dist/httpd/CHANGES_2.0.52

SECURITY: CAN-2004-0811 (cve.mitre.org)
http://www.apache.org/dist/httpd/patches/apply_to_2.0.51/CAN-2004-0811.patch

Overview of security vulnerabilities in Apache httpd 2.0
http://www.apacheweek.com/features/security-20

The Apache HTTP Server Project
http://httpd.apache.org/

September 2004 Web Server Survey
http://news.netcraft.com/archives/web_server_survey.html

22/09/2004 – Actualización de Apache HTTP Server
http://www.hispasec.com/unaaldia/2160

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.