Salto de restricciones de seguridad en mod_ssl

Se ha descubierto una vulnerabilidad en mod_ssl 2.x que permitiría a
usuarios maliciosos saltarse determinadas restricciones de seguridad.

«mod_ssl» es un módulo Apache que le dota de la capacidad de soportar
sesiones SSL (Secure Socket Layer, el protocolo utilizado en HTTPS).

El problema se debe a un error en el reforzamiento de autenticación a
nivel cliente de certificados («SSLVerifyClient require») en el
contexto por localización si «SSLVerifyClient optional» está activado
en la configuración de hosts globales virtuales. Esto permitiría a
usuarios maliciosos saltarse el sistema de autenticación y conseguir
acceso no autorizado a ciertas páginas web.

Se recomienda actualizar a la versión 2.8.24:
http://www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.gz

Más información:

[ANNOUNCE] mod_ssl 2.8.24-1.3.33
http://marc.theaimsgroup.com/?l=apache-modssl&m=112569517603897&w=2

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog