Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/07/2014
Diversas vulnerabilidades en Apache HTTP Server
Se ha publicado la versión 2.4.10 del servidor web Apache destinada a solucionar cinco fallos de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario o causar denegación de servicio.Riesgo: Alto
Apache es el servidor web más popular del mundo, usado por más del 52% de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.
Se describen las vulnerabilidades a continuación:
- CVE-2014-0117: Existe un error en el manejo de cabeceras HTTP Connection en el módulo 'mod_proxy' que podría provocar una denegación de servicio en un proxy inverso.
- CVE-2014-3523: Denegación de servicio debido a un fallo en la función 'winnt_accept' del módulo 'WinNT MPM' que podría generar el agotamiento de la memoria disponible.
- CVE-2014-0226: Existe un error de condición de carrera en el módulo 'mod_status' que podría generar un desbordamiento de memoria basado en 'Heap', lo que permitiría ejecutar código arbitrario.
- CVE-2014-0118: Fallo en la función 'deflate_in_filter' del módulo 'mod_deflate' a la hora de gestionar la descompresión de peticiones al servidor, que podría generar un agotamiento de recursos y provocar una denegación de servicio.
- CVE-2014-0231: Denegación de servicio en el módulo 'mod_cgid' al no tener un mecanismo de timeout para scripts CGI.
Versiones anteriores a la 2.4.10
Referencias:CVE-2014-0117, CVE-2014-3523, CVE-2014-0226, CVE-2014-0118, CVE-2014-0231
Solución:Actualizar a la versión 2.4.10
Notas:Más información:
Apache HTTP Server 2.4.10 Released
Fuente: Hispasec una-al-día