Nuevas versiones de Apache 1.3.* y 2.0.*


Se acaban de publicar dos actualizaciones de Apache, para las ramas 1.3.* y 2.0.*. Estas actualizaciones solucionan varios problemas de seguridad.





Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows y Novel NetWare.

Las versiones no actualizadas de Apache contienen varios problemas de
seguridad. La recomendación es actualizar cuanto antes a Apache 1.3.27 o
2.0.43.

En concreto, los problemas de seguridad solucionados son:

* 1.3.27:

- Un problema en la gestión de la memoria compartida permite que
cualquier usuario *LOCAL* en la máquina, que pueda ejecutar código
con el UID de Apache (típicamente "nobody"), pueda enviar cualquier
señal UNIX a cualquier proceso del sistema, como "root". También
puede provocar un DoS (Ataque de Denegación de Servicio) sobre la
máquina local, en particular el propio proceso Apache.

Esta vulnerabilidad solo es explotable para usuarios locales.

- Apache permite explotar vulnerabilidades CSS (Cross Site Scripting)
en la página web por defecto cuando se muestra un error 404 (página
inexistente), en dominios que admitan comodines en el DNS.

- Varios desbordamientos de búfer en el código de "ab.c", herramienta
incluida en el sistema para realizar pruebas de carga de un
servidor web. Las vulnerabilidades son explotables cuando se
utiliza "ab" contra un servidor web malicioso.

* 2.0.43:

- Apache permite explotar vulnerabilidades CSS (Cross Site Scripting)
en la página web por defecto cuando se muestra un error 404 (página
inexistente), en dominios que admitan máscaras en el DNS.

- Apache puede devolver el código fuente de un script cuando un
cliente hace un "POST" y tenemos activado DAV para el recurso
en cuestión.

La recomendación es actualizar Apache a la versión 1.3.27 o 2.0.43.


Más Información:

Apache 1.3.27 Released
http://www.apache.org/dist/httpd/Announcement.html

Apache 2.0.43 Released
http://www.apache.org/dist/httpd/Announcement2.html

Apache HTTP Server Project
http://httpd.apache.org/

Apache HTTP Server Source Code Distributions
http://www.apache.org/dist/httpd/


Jesús Cea Avión
jcea@hispasec.com



Otras noticias de interés:

#LibreOffice 3.4.4 disponible.
The Document Foundation lanzó una nueva versión de la rama 3.4 de LibreOffice....
Precaución al navegar en Internet
Que internet es un peligro para los jóvenes es algo que oímos constantemente, pero la realidad es que la red no es más peligrosa que la televisión, el teléfono móvil o cualquier otro medio que sirva para comunicarse, enviar y recibir informaci...
Los virus más reportados Julio 2003
En este reporte mostramos los virus que han sido más reportados por VSAntivirus y Pandasoftware respectivamente durante el mes de julio de este año....
Troyano en "libpcap" y "tcpdump"
Libpcap y Tcpdump son respectivamente, una librería y una herramienta muy utilizadas en ambientes Linux, que proporcionan facilidades de monitoreo de paquetes a programas como Snort (Libpcap), o directamente monitorean el intercambio ...
Microsoft publicará dos boletines de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan dos boletines de seguridad, uno dedicado a Microsoft Office y otro a su sistema operativo Windows....
Google Desktop beta llega a GNU/Linux
Previamente este software no libre de Google había hecho su aparición en sistemas no libres como Windows o Mac OS X, ahora llega al sistema operativo libre más conocido, GNU/Linux....
Usuarios de Windows 2000 alertas ante posible ataque
Investigadores de seguridad, han hecho público al menos tres piezas de código capaces de explotar vulnerabilidades recientemente parchadas en Microsoft Windows. Sin embargo, ninguno de los códigos puede considerarse por el momento una amenaza que ...
Vulnerabilidad en ActiveX de Access aún sin parchear
Una vulnerabilidad aún sin parchear está afectando a todos los usuarios del navegador Internet Explorer, el problema se encuentra en el control ActiveX Snapshot Viewer de Microsoft Access y permitiría que alguien visualizara un documento sin poner...
Desvelando el virus Stuxnet - Cyber-Espionaje
El experimentado analista antivirus Roel Schouwenberg discute las complejidades del misterioso ataque del gusano Stuxnet....
Mayor seguridad en las plataformas web con el servidor Sun Fire 280R
Los servidores incluyen el entorno operativo de Solaris y el software Sun ONE preinstalado. Sun ha lanzado el servidor Sun Fire 280R, como respuesta a las necesidades crecientes de mayor seguridad en plataformas de servicios web....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevas
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • versiones
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra