Apache
acaba de presentar la última actualización de su rama 2.4, en concreto, se ha publicado
la versión 2.4.2.
Apache HTTP Server es el software para servidores HTTP
multiplataforma más utilizado en la actualidad. Según las estadísticas de
Netcraft en febrero, más de la mitad de los sites activos, concretamente 57.45%
hacían uso de este software.
La nueva versión trae consigo
gran cantidad de pequeños arreglos y
nuevas funcionalidades, tanto en el
núcleo de la aplicación como en muchos de los módulos que se incluyen por
defecto. Algunos de los cambios han afectado a módulos como 'mod_proxy', 'mod_ssl' o 'mod_session'
entre muchos otros. Otro cambio se ha producido en la directiva 'DirectoryIndex' con el valor 'disabled', la encargada de evitar que
pueda ser listado el contenido de un directorio. El cambio propicia que la
directiva se anteponga ahora a todas las configuraciones anteriores, y no sólo
a las de anteriores secciones.
Con respecto a las
actualizaciones de seguridad, en este caso vemos que solamente se ha corregido
un fallo:
- CVE-2012-0883: Relacionada con el manejo incorrecto de la variable de entorno 'LD_LIBRARY_PATH'. El fallo podría permitir a un atacante buscar DSO (dinamyc shared object) en el directorio actual y ejecutar así código arbitrario con los permisos con los que esté funcionando actualmente Apache. Básicamente, un atacante local podría engañar a la variable para que apunte a un directorio con librerías diferentes y por tanto, ejecutar el código en ellas cuando se lanza por ejemplo, apachectl.
Más información:
Changes
with Apache 2.4.2
Javier Rascón
