Se publican nuevas versiones del servidor Apache
La fundación Apache ha publicado recientemente actualizaciones de su
servidor Apache, tanto en la rama 2.0.* como en la 1.3.*.
Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows, OS/2 y Novell NetWare. En Octubre de 2003, Apache constituía
más del 66 por ciento de los servidores web de Internet.
Las
versiones no actualizadas de Apache contienen las siguientes
vulnerabilidades:
-Un atacante puede ocasionar la caída del
servidor Apache y, bajo ciertas circunstancias, la ejecución de código
arbitrario con sus privilegios. Para que el ataque sea factible, el
fichero de configuración Apache debe contener expresiones regulares con
más de nueve capturas. El problema reside en varios desbordamientos de
búfer en los módulos mod_alias y mod_rewrite. Esta vulnerabilidad
afecta a las versiones de Apache previas a 1.3.29 y 2.0.48.
-Bajo
ciertas circunstancias, es posible que Apache envíe los datos de un
proceso CGI a un cliente equivocado. Esta vulnerabilidad afecta a las
versiones de Apache previas a la 2.0.48.
La recomendación de
Hispasec Sistemas es actualizar sus instalaciones Apache a 1.3.29 o
2.0.48. Aparte de las vulnerabilidades citadas, las nuevas versiones de
Apache solucionan numerosos bugs menores.