Apenas una semana desde la última actualización, la «Apache Software
Foundation» y «The Apache HTTP Server Project» han anunciado la
publicación de la versión 2.0.52 de Apache HTTP Server («Apache»).
Apache es el servidor web más popular del mundo, disponible en
código fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.
En Septiembre de 2004, Apache era la elección de casi el 68% de los
servidores web de Internet.
La nueva versión de Apache corrige una vulnerabilidad de seguridad
introducida de forma inadvertida en la versión anterior. La
vulnerabilidad permite que un usuario remoto acceda a recursos
protegidos a pesar de lo que se indique en la configuración Apache. El
problema afecta exclusivamente a la versión 2.0.51 de este popular
servidor web.
Los administradores de Apache 2.0.51 pueden recompilar el servidor
tras aplicar el siguiente parche:
SECURITY: CAN-2004-0811 (cve.mitre.org)
Fix merging of the Satisfy directive, which was applied to
the surrounding context and could allow access despite configured
authentication. (a regression in 2.0.51)
PR: 31315
Submitted by: Rici Lake
--- httpd-2.0/server/core.c 2004/08/31 08:16:56 1.225.2.27
+++ httpd-2.0/server/core.c 2004/09/21 13:21:16 1.225.2.28
@@ -351,9 +351,13 @@
/* Otherwise we simply use the base->sec_file array
*/
+ /* use a separate ->satisfy[] array either way */
+ conf->satisfy = apr_palloc(a, sizeof(*conf->satisfy) * METHODS);
for (i = 0; i < METHODS; ++i) {
if (new->satisfy[i] != SATISFY_NOSPEC) {
conf->satisfy[i] = new->satisfy[i];
+ } else {
+ conf->satisfy[i] = base->satisfy[i];
}
}
No obstante, Hispasec recomienda a los administradores de servidores
Apache 2.0.* que actualicen a la versión 2.0.52 que, además del problema
de seguridad descrito, soluciona otros bugs menores.
jcea@hispasec.com
Más información:
Fix merging of the Satisfy directive, which was applied to
the surrounding context and could allow access despite configured
authentication.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0811
Changes with Apache 2.0.52
http://www.apache.org/dist/httpd/CHANGES_2.0.52
SECURITY: CAN-2004-0811 (cve.mitre.org)
http://www.apache.org/dist/httpd/patches/apply_to_2.0.51/CAN-2004-0811.patch
Overview of security vulnerabilities in Apache httpd 2.0
http://www.apacheweek.com/features/security-20
The Apache HTTP Server Project
http://httpd.apache.org/
September 2004 Web Server Survey
http://news.netcraft.com/archives/web_server_survey.html
22/09/2004 – Actualización de Apache HTTP Server
http://www.hispasec.com/unaaldia/2160
Deja una respuesta