Inicio de zonavirus, antivirus
zonavirus / noticias / nuevas versiones de apache http server corrigen diversas vulnerabilidades

Nuevas versiones de Apache HTTP Server corrigen diversas vulnerabilidades

flacoroo
Thursday, June 22, 2017
Apache_http_server.png

Apache Software Foundation ha publicado nuevas versiones del servidor web Apache destinadas a solucionar cinco vulnerabilidades importantes que podrían permitir a un atacante evitar restricciones de seguridad o provocar condiciones de denegación de servicio.



Apache es el servidor web más popular del mundo, usado por cerca de la mitad de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.



El primer problema reside en el uso de ap_get_basic_auth_pw() por módulos de terceras partes fuera de la fase de autenticación uqe podría dar lugar a que un atacante pueda evitar los requisitos de autenticación (CVE-2017-3167).



También se corrigen vulnerabilidades de denegación de servicio por desreferencia de puntero nulo en mod_ssl cuando otros módulos llaman ap_hook_process_connection() durante una petición HTTP a un puerto HTTPS (CVE-2017-3169). Y por otras dos sobrelecturas de búfer en ap_find_token() (con CVE-2017-7668) y mod_mime (CVE-2017-7679).



Por último, una denegación de servicio por desreferencia de puntero nulo (CVE-2017-7659) en mod_http2 a través de peticiones http/2 maliciosas, que solo afecta a Apache 2.4.25.



El equipo de Apache recomienda a los usuarios de la rama 2.2 actualizar a la rama 2.4, a la versión 2.4.26 que además incluye nuevas funcionalidades y mejoras. Esta versión 2.2.33 se considera como versión de mantenimiento y se ofrece para aquellos usuarios que no puedan actualizar a la rama 2.4 en este momento.



Se han publicado parches individuales para la versión 2.2.33 para cada una de las vulnerabilidades:

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3167.patch

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3169.patch

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-7668.patch

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-7679.patch



Las nuevas versiones Apache 2.4.26 como 2.2.33 están disponibles desde:

https://httpd.apache.org/download.cgi



http://unaaldia.hispasec.com/2017/06/nuevas-versiones-de-apache-http-server.html

 RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
zonavirus / noticias / nuevas versiones de apache http server corrigen diversas vulnerabilidades
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto