Denegación de servicio y cross-site scripting en Apache 1.3.x, 2.0.x y 2.2.x

apache.jpg
La Fundación Apache ha publicado varias vulnerabilidades en el servidor web Apache que podrían ser aprovechadas por atacantes remotos para provocar una denegación de servicio o perpetrar ataques de cross-site scripting. Los problemas se dan en algunos módulos y afectan a todas las ramas.

Apache es un servidor HTTP de código abierto, eficiente y extensible, para sistemas operativos UNIX y derivados, así como plataformas Microsoft Windows, que goza de gran popularidad.

La primera vulnerabilidad está causada por un error de validación de entrada en el módulo mod_status al mostrar las páginas de estatus, lo que podría ser explotado por un atacante remoto para ejecutar código HTML o JavaScript arbitrario en el contexto de seguridad del usuario que visita la página afectada. La opción no está activada por defecto.

La segunda vulnerabilidad está causada por otro error de validación de entrada en el módulo mod_proxy_balancer al procesar y mostrar los datos introducidos, con el mismo efecto que la anterior.

La tercera vulnerabilidad se debe a un error también en el módulo mod_proxy_balancer, pero ésta vez al manejar peticiones especialmente manipuladas que hacen uso de un módulo multiproceso con threads. Esto podría ser explotado por un atacante remoto para hacer que el proceso hijo afectado dejara de responder, causando así una denegación de servicio.

En las versiones en desarrollo publicadas, además se han subsanado otros problemas reconocidos con anterioridad por la Fundación Apache, que afectan a módulos como mod_imagemap y mod_imap.

Los fallos están corregidos en las versiones de las ramas en desarrollo 1.3.40-dev, 2.0.62-dev y 2.2.7-dev, disponibles desde: http://httpd.apache.org/download.cgi

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: