Se ha descubierto una vulnerabilidad en mod_ssl 2.x que permitiría a
usuarios maliciosos saltarse determinadas restricciones de seguridad.
«mod_ssl» es un módulo Apache que le dota de la capacidad de soportar
sesiones SSL (Secure Socket Layer, el protocolo utilizado en HTTPS).
El problema se debe a un error en el reforzamiento de autenticación a
nivel cliente de certificados («SSLVerifyClient require») en el
contexto por localización si «SSLVerifyClient optional» está activado
en la configuración de hosts globales virtuales. Esto permitiría a
usuarios maliciosos saltarse el sistema de autenticación y conseguir
acceso no autorizado a ciertas páginas web.
Se recomienda actualizar a la versión 2.8.24:
http://www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.gz
jcanto@hispasec.com
Más información:
[ANNOUNCE] mod_ssl 2.8.24-1.3.33
http://marc.theaimsgroup.com/?l=apache-modssl&m=112569517603897&w=2
Deja una respuesta