Nuevas versiones de Apache 1.3.* y 2.0.*


Se acaban de publicar dos actualizaciones de Apache, para las ramas 1.3.* y 2.0.*. Estas actualizaciones solucionan varios problemas de seguridad.





Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows y Novel NetWare.

Las versiones no actualizadas de Apache contienen varios problemas de
seguridad. La recomendación es actualizar cuanto antes a Apache 1.3.27 o
2.0.43.

En concreto, los problemas de seguridad solucionados son:

* 1.3.27:

- Un problema en la gestión de la memoria compartida permite que
cualquier usuario *LOCAL* en la máquina, que pueda ejecutar código
con el UID de Apache (típicamente "nobody"), pueda enviar cualquier
señal UNIX a cualquier proceso del sistema, como "root". También
puede provocar un DoS (Ataque de Denegación de Servicio) sobre la
máquina local, en particular el propio proceso Apache.

Esta vulnerabilidad solo es explotable para usuarios locales.

- Apache permite explotar vulnerabilidades CSS (Cross Site Scripting)
en la página web por defecto cuando se muestra un error 404 (página
inexistente), en dominios que admitan comodines en el DNS.

- Varios desbordamientos de búfer en el código de "ab.c", herramienta
incluida en el sistema para realizar pruebas de carga de un
servidor web. Las vulnerabilidades son explotables cuando se
utiliza "ab" contra un servidor web malicioso.

* 2.0.43:

- Apache permite explotar vulnerabilidades CSS (Cross Site Scripting)
en la página web por defecto cuando se muestra un error 404 (página
inexistente), en dominios que admitan máscaras en el DNS.

- Apache puede devolver el código fuente de un script cuando un
cliente hace un "POST" y tenemos activado DAV para el recurso
en cuestión.

La recomendación es actualizar Apache a la versión 1.3.27 o 2.0.43.


Más Información:

Apache 1.3.27 Released
http://www.apache.org/dist/httpd/Announcement.html

Apache 2.0.43 Released
http://www.apache.org/dist/httpd/Announcement2.html

Apache HTTP Server Project
http://httpd.apache.org/

Apache HTTP Server Source Code Distributions
http://www.apache.org/dist/httpd/


Jesús Cea Avión
jcea@hispasec.com



Otras noticias de interés:

Ubuntu vs Windows
Muchas personas hemos oido hablar muy bien sobre el uso de linux en un ordenador de escritorio pero no se atreven a hacer la migración. Intentaré mostrar en este artículo cómo funciona un escritorio de Linux apuntando las similitudes con el de Wi...
Alerta roja en el FBI.
Hace un par de días el NIPC distribuyó un mensaje de alerta avisando de un inminente ataque a servidores americanos por parte de hackers de Europa del este....
¿Va por buen camino el software libre?
GNU/Linux es Software Libre. Software libre es libertad. Este ha sido su principal finalidad desde su concepción. ...
Zbot, agregado a Malicious Software Removal Tool, bate récord
Microsoft añadió la firma de Zbot a su MSRT (Malicious Software Removal Tool) el martes próximo pasado. Los resultados publicados, confirman que Zbot (Zeus) sigue siendo la familia que más afecta a los Windows, encontrándose en 1 de cada 5 siste...
Alarmante crecimiento de máquinas zombie y botnets
El creciente número de máquinas zombie en las redes empieza a ser realmente preocupante. Nadie sabe a ciencia cierta el porcentaje exacto de máquinas de este tipo que están operando en la actualidad. Los datos de los que se dispone son siemp...
Se casa LEONEL
El Día 19/12/2003 Un Miembro registrado de nuestro sitio de Nick Leonel, contrajo nupcias y dejo el siguiente mensaje:...
El gobierno de internet
Es eficiente, popular, conveniente. Y ahí pasamos horas. Pero, ¿quién gobierna internet?...
Actualizaciones para Flash, AIR y Foxit Reader
Adobe ha publicado una actualización de seguridad para Flash Player, las versiones 10.1.53.64 y anteriores se ven afectadas por una vulnerabilidad que permitiría a un atacante tomar el control del equipo....
IE 10 contará con Do Not Track activado por defecto
La gigante informática de la ciudad de Redmond ha anunciado que la próxima versión de su popular navegador por internet, Internet Explorer 10, contará con una gran novedad que todos los usuarios agradecerán, en especial aquellos que les preocupa...
Desbordamiento de búfer en Oracle iSQL*Plus
Una vulnerabilidad de desbordamiento de búfer en el componente Oracle iSQL*Plus de Oracle 9 puede llegar a comprometer la integridad del servidor. Oracle iSQL*Plus es una aplicación basada en web que permite a los usuarios lanzar consultas contra u...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevas
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • versiones
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra