Se ha publicado la versión 2.2.16 del servidor web Apache, con objeto de corregir dos vulnerabilidades de denegación de servicio en los módulos «mod_cache» y «mod_dav» y otra de divulgación de información sensible en «mod_proxy_http».
El primer problema reside en la forma en que se procesan las solicitudes por los módulos «mod_cache» y «mod_dav». Un atacante remoto podría causar una denegación de servicio en determinadas condiciones mediante el envío de peticiones HTTP especialmente manipuladas. Hay que señalar que el módulo «mod_cache» se ve afectado solamente si se hace uso de la directiva «CacheIgnoreURLSessionIdentifiers».
También se ha corregido un error en la detección de tiempo de espera en «mod_proxy_http.c» que podría permitir que bajo determinadas condiciones, el servidor devuelva una respuesta destinada a otro usuario. Sólo se ven afectados los sistemas operativos Windows, Netware y OS2.
Se recomienda actualizar a Apache 2.2.16 desde http://httpd.apache.org/download.cgi
laboratorio@hispasec.com
Más información:
Fixed in Apache httpd 2.2.16
http://httpd.apache.org/security/vulnerabilities_22.html
Deja una respuesta