usuarios maliciosos saltarse determinadas restricciones de seguridad.
"mod_ssl" es un módulo Apache que le dota de la capacidad de soportar
sesiones SSL (Secure Socket Layer, el protocolo utilizado en HTTPS).
El problema se debe a un error en el reforzamiento de autenticación a
nivel cliente de certificados ("SSLVerifyClient require") en el
contexto por localización si "SSLVerifyClient optional" está activado
en la configuración de hosts globales virtuales. Esto permitiría a
usuarios maliciosos saltarse el sistema de autenticación y conseguir
acceso no autorizado a ciertas páginas web.
Se recomienda actualizar a la versión 2.8.24:
http://www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.gz
Julio Canto
jcanto@hispasec.com
jcanto@hispasec.com
Más información:
[ANNOUNCE] mod_ssl 2.8.24-1.3.33
http://marc.theaimsgroup.com/?l=apache-modssl&m=112569517603897&w=2
No hay comentarios:
Publicar un comentario