Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/09/2011
Publicada actualización para el último DoS de Apache
Ayer se publicó la versión 2.2.20 de Apache, que corrige el fallo en el tratamiento de las cabeceras HTTP Range detectado la semana pasada.
La Fundación Apache ha anunciado la publicación de la versión 2.2.20 del servidor HTTP de código abierto Apache (httpd). Esta actualización de seguridad y mantenimiento corrige una vulnerabilidad de denegación de servicio (DoS) reportada públicamente (CVE-2011-3192), y que podía ser explotada por un atacante utilizando únicamente un solo ordenador.
El fallo, explotable de forma remota, se encontraba en el modo en que se gestionaban peticiones de fragmentos (rangos) solapados de ficheros. La semana pasada se publicó una herramienta que aprovechaba esta vulnerabilidad. Utilizando un número de peticiones modesto, la herramienta podía "causar un consumo de memoria y CPU significativamente elevado en el servidor".
De acuerdo al aviso de seguridad de la Fundación Apache, las versiones del servidor httpd afectadas son todas las de las ramas 1.3.x y 2.0.x, así como las de la rama 2.2.x hasta la 2.2.19. La actualización a la versión 2.2.20 soluciona esta vulnerabilidad en todos los casos. Se recomienda encarecidamente la actualización de Apache, ya que la herramienta publicada está siendo utilizada activamente en Internet.
Se puede encontrar más información en el comunicado oficial de la Fundación Apache, así como en la página de vulnerabilidades de Apache httpd 2.2. Esta nueva versión está disponible en la página de descargas del proyecto. Además, las distribuciones más utilizadas han publicado ya, o publicarán en los próximos días, paquetes con esta nueva actualización.