Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Salto de restricciones de seguridad en mod_ssl

Salto de restricciones de seguridad en mod_ssl

Por Deja un comentario

Se ha descubierto una vulnerabilidad en mod_ssl 2.x que permitiría a
usuarios maliciosos saltarse determinadas restricciones de seguridad.

«mod_ssl» es un módulo Apache que le dota de la capacidad de soportar
sesiones SSL (Secure Socket Layer, el protocolo utilizado en HTTPS).

El problema se debe a un error en el reforzamiento de autenticación a
nivel cliente de certificados («SSLVerifyClient require») en el
contexto por localización si «SSLVerifyClient optional» está activado
en la configuración de hosts globales virtuales. Esto permitiría a
usuarios maliciosos saltarse el sistema de autenticación y conseguir
acceso no autorizado a ciertas páginas web.

Se recomienda actualizar a la versión 2.8.24:
http://www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.gz

Julio Canto
jcanto@hispasec.com

Más información:

[ANNOUNCE] mod_ssl 2.8.24-1.3.33
http://marc.theaimsgroup.com/?l=apache-modssl&m=112569517603897&w=2

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.