Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/01/2012
Vulnerabilitat en Apache HTTP Server "httpOnly"
Han sigut reportades algunes vulnerabilitats en Apache HTTP Server, que poden ser explotades per usuaris maliciosos per a revelar informació sensible i causar un DoS (denegació de servei).Un error en manipular el registre de format de cadena "% {} cookiename C" quan s'usa un MPM (multi threaded) pot ser explotat per a causar un error per mitjà de l'enviament d'una galeta dissenyada especialment .
Esta vulnerabilitat es presenta en les versions 2.2.17, 2.2.18, 2.219, 2.2.20 i 2.2.21.
2) Un error en la resposta d'error per defecte per al codi d'estat 400 quan no hi ha un ErrorDocument personalitzat, pot ser aprofitat per a exposar les galetes "HttpOnly".
Esta vulnerabilitat es presenta en les versions 2.2.0, 2.2.2, 2.2.3, 2.2.4, 2.2.5, 2.2.6, 2.2.8, 2.2.9, 2.2.10, 2.2.11, 2.2.12, 2.2.13, 2.2.14, 2.2.15, 2.2.16, 2.2.17, 2.2.18, 2.2.19, 2.2.20 i 2.2.21.
Sistemes Afectats:Apache 2.2.x
Referències:CVE-2012-0021, CVE-2012-0053
Solució:Corregit al repositori SVN.
Notes:http://httpd.apache.org/security/vulnerabilities_22.html
http://secunia.com/advisories/47779/