Está en: Inicio » Alertas » Vulnerabilidad en Apache HTTP Server "httpOnly"

Vulnerabilidad en Apache HTTP Server "httpOnly"

Versión para impresión
30/01/2012
Han sido reportadas algunas vulnerabilidades en Apache HTTP Server, que pueden ser explotadas por usuarios maliciosos para revelar información sensible y causar un DoS (Denegación de servicio).

Riesgo: Medio Medio
Sistemas afectados:

Apache 2.2.x

Descripción:

1) Un error al manipular el log de formato de cadena "% {} cookiename C"  cuando se usa un MPM (multi-hilo) puede ser explotado para causar un error mediante el envío de una cookie especialmente diseñada.

Esta vulnerabilidad se presenta en las versiones 2.2.17, 2.2.18, 2.219, 2.2.20 y 2.2.21.

2) Un error en la respuesta de error por defecto para el código de estado 400 cuando no existe un ErrorDocument personalizado, puede ser aprovechado para exponer las  cookies "HttpOnly".

Esta vulnerabilidad se presenta en las versiones 2.2.0, 2.2.2, 2.2.3, 2.2.4, 2.2.5, 2.2.6, 2.2.8, 2.2.9, 2.2.10, 2.2.11, 2.2.12, 2.2.13, 2.2.14, 2.2.15, 2.2.16, 2.2.17, 2.2.18, 2.2.19, 2.2.20 y 2.2.21.

Referencias (CVE):
CVE-2012-0021, CVE-2012-0053
Solución:

Arreglado en el repositorio SVN.

Notas:

http://httpd.apache.org/security/vulnerabilities_22.html
http://secunia.com/advisories/47779/

Fuente: Secunia Advisories
Tags:

Lista Trusted Introducer Agencia Valenciana de Tecnología y Certificación Electrónica CSRIR.es Plan AvanzaAntiphishing Working GroupFondo Europeo de Desarrollo Regional