photo5086850792144611257

Nuevas versiones de Apache HTTP Server corrigen diversas vulnerabilidades

Fecha de Publicación: 21 de junio de 2017

Apache Software Foundation ha publicado nuevas versiones del servidor web Apache destinadas a solucionar cinco vulnerabilidades importantes que podrían permitir a un atacante evitar restricciones de seguridad o provocar condiciones de denegación de servicio.

Apache es el servidor web más popular del mundo, usado por cerca de la mitad de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.

El primer problema reside en el uso de ap_get_basic_auth_pw() por módulos de terceras partes fuera de la fase de autenticación uqe podría dar lugar a que un atacante pueda evitar los requisitos de autenticación (CVE-2017-3167).

También se corrigen vulnerabilidades de denegación de servicio por desreferencia de puntero nulo en mod_ssl cuando otros módulos llaman ap_hook_process_connection() durante una petición HTTP a un puerto HTTPS (CVE-2017-3169). Y por otras dos sobrelecturas de búfer en ap_find_token() (con CVE-2017-7668) y mod_mime (CVE-2017-7679).

Por último, una denegación de servicio por desreferencia de puntero nulo (CVE-2017-7659) en mod_http2 a través de peticiones http/2 maliciosas, que solo afecta a Apache 2.4.25.

El equipo de Apache recomienda a los usuarios de la rama 2.2 actualizar a la rama 2.4, a la versión 2.4.26 que además incluye nuevas funcionalidades y mejoras. Esta versión 2.2.33 se considera como versión de mantenimiento y se ofrece para aquellos usuarios que no puedan actualizar a la rama 2.4 en este momento.

Se han publicado parches individuales para la versión 2.2.33 para cada una de las vulnerabilidades:

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3167.patch

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3169.patch

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-7668.patch

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-7679.patch

Recursos Afectados: Apache 2.2

Solución: Actualizar, Las nuevas versiones Apache 2.4.26 como 2.2.33 están disponibles desde: https://httpd.apache.org/download.cgi

0 replies

Deja una respuesta

¿Quieres unirte a la discusión?
¡Siéntete libre de contribuir!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *