Se
han anunciado dos vulnerabilidades en el servidor web Apache que podrían
permitir a un atacante remoto obtener información sensible o crear condiciones
de cross-site scripting.
El primero de los problemas (con CVE-2012-2687)
reside en mod_negotiation, debido a que no filtra adecuadamente el código HTML introducido
por el usuario en nombres de archivos de una lista de variables. En webs donde
se permite a usuarios remotos subir archivos a un sitio con MultiViews
habilitado, un atacante puede provocar la ejecución de código script
arbitrario. El fallo fue reportado al equipo de Apache el 31 de mayo, se dio a
conocer el 13 de junio, y ha sido reparado en esta versión del día 21.
Por otra parte, mod_proxy_ajp y
mod_proxy_http no cierran adecuadamente las conexiones (CVE-2012-3502),
lo que permitiría a un atacante remoto obtener la respuesta destinada a una
conexión diferente. El fallo se conoció el 16 de agosto y ha sido corregido el
día 21.
Apache ha publicado la versión
2.4.3 destinada a corregir estos problemas, que puede descargarse desde: http://httpd.apache.org/download.cgi
Más información:
Apache httpd 2.4 vulnerabilities
Changes
with Apache 2.4.3
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario