Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/09/2011
Publicada actualització per a l'últim DoS d'Apache
Ahir es va publicar la versió 2.2.20 d'Apache, que corregeix la fallada en el tractament de les capçaleres HTTP Range, detectada la setmana passada.
La Fundació Apache ha anunciat la publicació de la versió 2.2.20 del servidor HTTP de codi obert, Apache (httpd). Aquesta actualització de seguretat i manteniment corregeix una vulnerabilitat de denegació de servei (DoS), reportada públicament (CVE-2011-3192), i que podia ser explotada per un atacant utilitzant únicament un sol ordinador.
La fallada, explotable de forma remota, es trobava en el mode en què es gestionaven peticions de fragments (rangs) solapats de fitxers. La setmana passada es va publicar una eina que aprofitava aquesta vulnerabilitat. Utilitzant un nombre de peticions modest, l’eina podia "causar un consum de memòria i CPU, significativament elevat en el servidor".
D'acord a l'avís de seguretat de la Fundació Apache, les versions del servidor httpd afectades són totes les de les branques 1.3.X i 2.0.X; així com les de la branca 2.2.X fins a la 2.2.19. L'actualització a la versió 2.2.20 soluciona aquesta vulnerabilitat en tots els casos. Es recomana, encaridament, l'actualització d'Apache, ja que l’eina publicada està sent utilitzada activament en Internet.
Es pot trobar més informació en el comunicat oficial de la Fundació Apache, així com en la pàgina de vulnerabilitats d'Apache httpd 2.2. Aquesta nova versió està disponible en la pàgina de descàrregues del projecte. A més, les distribucions més utilitzades han publicat ja o publicaran en els pròxims dies, paquets amb aquesta nova actualització.