Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/09/2014
Diversas vulnerabilidades en Apache HTTP Server
Apache Software Foundation ha publicado la versión 2.2.29 del servidor web Apache, destinada a solucionar cuatro fallos de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario o causar denegación de servicio.Riesgo: Bajo
Apache es el servidor web más popular del mundo, usado por más del 52% de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.
Esta versión corrige vulnerabilidades de denegación de servicio en los módulos mod_deflate (con CVE-2014-0118) y mod_cgid (con CVE-2014-0231). Una condición de carrera en el tratamiento del "scoreboard" que puede dar lugar a desbordamientos de búfer (con CVE-2014-0226) y un problema que podría permitir la falsificación de cabeceras HTTP (con CVE-2013-5704).
El equipo de Apache hace notar que no se ha publicado la versión 2.2.28. Igualmente recomienda a los usuarios de la rama 2.2 actualizar a la rama 2.4 (según Apache la mejor versión disponible). Esta versión 2.2.29 se considera como versión de mantenimiento y se ofrece para aquellos usuarios que no puedan actualizar a la rama 2.4 en este momento.
Algunas de las vulnerabilidades corregidas, ya fueron solucionadas en la rama 2.4 el pasado mes de julio.
Tanto Apache 2.4 como 2.2.29 están disponibles desde:
Sistemas Afectados: Servidor Web Apache, rama 2.2.
Referencias:CVE-2014-0118, CVE-2014-0231, CVE-2014-0226, CVE-2013-5704
Solución:Aplicar las actualizaciones que ofrece el fabricante.
Notas:Apache HTTP Server 2.2.29 Released
una-al-dia (21/07/2014) Diversas vulnerabilidades en Apache HTTP Server
Fuente: Hispasec una-al-día