La fundación Apache recomienda actualizar a la recién publicada versión
1.3.33 de su popular servidor HTTP.
Apache es el servidor web más popular del mundo, disponible en
código fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.
En Septiembre de 2004, Apache era la elección de casi el 68% de los
servidores web de Internet.
Las versiones 1.3.* no actualizadas del servidor HTTP Apache contienen
un desbordamiento de búfer en la gestión de SSI («Server Side
Includes»), que permite que un usuario con capacidad de modificación de
páginas web pueda ejecutar código arbitrario en el servidor.
Hispasec recomienda a todos los administradores de sistemas Apache 1.3.*
que actualicen a la versión 1.3.33.
Las vulnerabilidades descritas no afectan a la rama 2.0.* del servidor
Apache.
jcea@hispasec.com
Más información:
Apache 1.3.33 Released
http://apache.slashdot.org/article.pl?sid=04/10/29/0034258
http://httpd.apache.org/
The Apache HTTP Server Project
Apache HTTP Server 1.3.33 Released
http://www.apache.org/dist/httpd/Announcement.html
Changes with Apache 1.3.33
http://www.apache.org/dist/httpd/CHANGES_1.3
Buffer overflow in the get_tag function in mod_include for Apache 1.3.x
to 1.3.32 allows local users who can create SSI documents to execute
arbitrary code as the apache user via SSI (XSSI) documents that trigger
a length calculation error.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0940
Deja un comentario