Denegación de servicio y cross-site scripting en Apache 1.3.x, 2.0.x y 2.2.x


La Fundación Apache ha publicado varias vulnerabilidades en el servidor web Apache que podrían ser aprovechadas por atacantes remotos para provocar una denegación de servicio o perpetrar ataques de cross-site scripting. Los problemas se dan en algunos módulos y afectan a todas las ramas.





Apache es un servidor HTTP de código abierto, eficiente y extensible, para sistemas operativos UNIX y derivados, así como plataformas Microsoft Windows, que goza de gran popularidad.

La primera vulnerabilidad está causada por un error de validación de entrada en el módulo mod_status al mostrar las páginas de estatus, lo que podría ser explotado por un atacante remoto para ejecutar código HTML o JavaScript arbitrario en el contexto de seguridad del usuario que visita la página afectada. La opción no está activada por defecto.

La segunda vulnerabilidad está causada por otro error de validación de entrada en el módulo mod_proxy_balancer al procesar y mostrar los datos introducidos, con el mismo efecto que la anterior.

La tercera vulnerabilidad se debe a un error también en el módulo mod_proxy_balancer, pero ésta vez al manejar peticiones especialmente manipuladas que hacen uso de un módulo multiproceso con threads. Esto podría ser explotado por un atacante remoto para hacer que el proceso hijo afectado dejara de responder, causando así una denegación de servicio.

En las versiones en desarrollo publicadas, además se han subsanado otros problemas reconocidos con anterioridad por la Fundación Apache, que afectan a módulos como mod_imagemap y mod_imap.

Los fallos están corregidos en las versiones de las ramas en desarrollo 1.3.40-dev, 2.0.62-dev y 2.2.7-dev, disponibles desde:
http://httpd.apache.org/download.cgi

Más Información:

Apache httpd 1.3 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_13.html

Apache httpd 2.0 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_20.html

Apache httpd 2.2 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_22.html

Fuente:
Pablo Molina - Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Interesante artículo sobre Implementación efectiva de IDS
Los sniffers e IDS examinan, registran, o actúan sobre el tráfico de red. Prepararse para implementar un sistema de detección de intrusos, o IDS, como parte de su estrategia integral de seguridad, significa conocer a fondo la arquitectura de su re...
Problemas de enlentecimientos con el parche MS07-040
Según informa Microsoft en su blog sobre Windows Installer, .NET Framework, y Visual Studio, después de instalar el parche para .NET Framework 2.0 descrito en el boletín MS07- 040, algunos usuarios pueden notar que algunas de sus aplicacio...
Webcams ayudan a prevenir accidentes aéreos en Alaska
Volar con mal tiempo es la principal causa de los accidentes aéreos que ocurren en Alaska. En estas latitudes se producen accidentes aéreos cada diez días. Para combatir este problema, la Administración Federal de Aviación (FAA, por su siglas en...
Grupos de Google utilizados para propagar malware
Leo desde seguinfo.blogspot.com un artículo referente al Malware, esta vez le toco a los Grupos de Google. Lamentablemente los grupos no moderados de Google están siendo utilizados por los creadores de malware para propagar sus creaciones....
Cómo ocultar mensajes en imágenes
Vía LifeHacker llego a un curioso (y sencillo) sistema para esconder mensajes en imágenes, una especie de esteganografía para torpes que sólo requiere la ventana de comandos de Windows y un simple programa de compresión de ficheros....
Sitio describe cómo hackear semáforos
Un nuevo sitio web informa en detalle como hackear los sistemas de semáforos. El sitio ha causado indignación en las autoridades británicas, debido a que publica una guía paso-a-paso sobre cómo asumir el control de semáforos indi...
Gusano aprovecha servidores mal configurados de JBoss AS
Un gusano aprovecha para infectar servidores que ejecutan JBoss Application Server (JBoss AS) con una incorrecta configuración de seguridad o en los que no se han aplicado los parches de seguridad publicados....
F-Secure: no usen JAVA
Un estudio de la empresa F-Secure clasificó a Java como una aplicación insegura, por lo que instó a los usuarios para que se actualicen a las versiones más recientes o bien, se deshagan de ella por completo porque no lo necesitan y su hábitos de...
Virus: engranajes de una cadena criminal
Los virus se convierten en engranajes de una cadena criminal donde las grandes empresas son la víctima más débil....
Proyecto #Tor: anonimato en Internet
Con un titulo algo extraño la bbc.co.uk publicó un articulo de nombre El rincón en internet donde el anonimato está garantizado. En él hablan de este interesante proyecto....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • denegacion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • scripting
  • seguridad
  • servicio
  • site
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra