Nuevas versiones de Apache HTTP Server corrigen diversas vulnerabilidades

Apache Software Foundation ha publicado nuevas versiones del servidor web Apache destinadas a solucionar cinco vulnerabilidades importantes que podrían permitir a un atacante evitar restricciones de seguridad o provocar condiciones de denegación de servicio.

Apache es el servidor web más popular del mundo, usado por cerca de la mitad de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.

El primer problema reside en el uso de ap_get_basic_auth_pw() por módulos de terceras partes fuera de la fase de autenticación uqe podría dar lugar a que un atacante pueda evitar los requisitos de autenticación (CVE-2017-3167).

También se corrigen vulnerabilidades de denegación de servicio por desreferencia de puntero nulo en mod_ssl cuando otros módulos llaman ap_hook_process_connection() durante una petición HTTP a un puerto HTTPS (CVE-2017-3169). Y por otras dos sobrelecturas  de búfer en ap_find_token() (con CVE-2017-7668) y mod_mime (CVE-2017-7679).

Por último, una denegación de servicio por desreferencia de puntero nulo (CVE-2017-7659) en mod_http2 a través de peticiones http/2 maliciosas, que solo afecta a Apache 2.4.25.

El equipo de Apache recomienda a los usuarios de la rama 2.2 actualizar a la rama 2.4, a la versión 2.4.26 que además incluye nuevas funcionalidades y mejoras. Esta versión 2.2.33 se considera como versión de mantenimiento y se ofrece para aquellos usuarios que no puedan actualizar a la rama 2.4 en este momento.

Se han publicado parches individuales para la versión 2.2.33 para cada una de las vulnerabilidades:

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3167.patch

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3169.patch

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-7668.patch

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-7679.patch

Las nuevas versiones Apache 2.4.26 como 2.2.33 están disponibles desde:

https://httpd.apache.org/download.cgi

Más información:

Apache httpd 2.4.26 Released 2017-06-19¶

http://www.apache.org/dist/httpd/Announcement2.4.html

Fixed in Apache httpd 2.2.33-dev

https://httpd.apache.org/security/vulnerabilities_22.html

Fixed in Apache httpd 2.4.26

https://httpd.apache.org/security/vulnerabilities_24.html

Changes with Apache 2.4.26

http://mirror.vorboss.net/apache//httpd/CHANGES_2.4.26

CVE-2017-3167: Apache httpd 2.x ap_get_basic_auth_pw authentication bypass

http://seclists.org/oss-sec/2017/q2/512

CVE-2017-3169: Apache httpd 2.x mod_ssl null pointer dereference

http://seclists.org/oss-sec/2017/q2/511

CVE-2017-7668: Apache httpd 2.x ap_find_token buffer overread

http://seclists.org/oss-sec/2017/q2/510

CVE-2017-7679: Apache httpd 2.x mod_mime buffer overread

http://seclists.org/oss-sec/2017/q2/509

CVE-2017-7659: mod_http2 null pointer dereference

http://seclists.org/oss-sec/2017/q2/504

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Salto de certificados en Apache con HTTP/2

Se ha anunciado una vulnerabilidad en el servidor web Apache HTTPD (versiones 2.4.18-2.4.20) por la que se salta la validación de certificados cliente X509 cuando hace uso del módulo experimental HTTP/2.

Apache es el servidor web más popular del mundo, usado por más del 52% de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.

En la versión 2.4.17 de Apache HTTP Server se introdujo como función experimental el módulo mod_http2 para el soporte del protocolo HTTP/2. El problema, con CVE-2016-4979, reside en que el servidor web Apache HTTPD no valida los certificados de cliente X509 correctamente cuando se utiliza este módulo para acceder a un recurso. El resultado es que se puede acceder a un recurso que requiere un certificado de cliente válido sin dicha credencial.

Hay que señalar que el impacto es muy limitado, ya que este módulo está compilado ni se activa por defecto (aunque alguna distribución sí pueda hacerlo). Generalmente necesita activarse en la línea de Protocols del archivo de configuración de Apache agregando "h2" y/o "h2c" al "http/1.1".

Se ha publicado la versión 2.4.23 del servidor web Apache que soluciona esta vulnerabilidad, disponible desde:

http://httpd.apache.org/download.cgi

Más información:

CVE-2016-4979: HTTPD webserver - X509 Client certificate based authentication can be bypassed when HTTP/2 is used [vs]

https://mail-archives.apache.org/mod_mbox/httpd-announce/201607.mbox/CVE-2016-4979-68283

Apache HTTP Server 2.4.23 Released

https://www.apache.org/dist/httpd/Announcement2.4.html

Apache httpd 2.4 vulnerabilities

http://httpd.apache.org/security/vulnerabilities_24.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Diversas vulnerabilidades en Apache HTTP Server

Apache Software Foundation ha publicado la versión 2.2.29 del servidor web Apache, destinada a solucionar cuatro fallos de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario o causar denegación de servicio. 

Apache es el servidor web más popular del mundo, usado por más del 52% de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.

Esta versión corrige vulnerabilidades de denegación de servicio en los módulos mod_deflate (con CVE-2014-0118) y mod_cgid (con CVE-2014-0231). Una condición de carrera en el tratamiento del "scoreboard" que puede dar lugar a desbordamientos de búfer (con CVE-2014-0226) y un problema que podría permitir la falsificación de cabeceras HTTP (con CVE-2013-5704).

El equipo de Apache hace notar que no se ha publicado la versión 2.2.28. Igualmente recomienda a los usuarios de la rama 2.2 actualizar a la rama 2.4 (según Apache la mejor versión disponible). Esta versión 2.2.29 se considera como versión de mantenimiento y se ofrece para aquellos usuarios que no puedan actualizar a la rama 2.4 en este momento. Algunas de las vulnerabilidades corregidas, ya fueron solucionadas en la rama 2.4 el pasado mes de julio.

Tanto Apache 2.4 como 2.2.29 están disponibles desde:

http://httpd.apache.org/download.cgi

Más información:

Apache HTTP Server 2.2.29 Released

https://www.apache.org/dist/httpd/Announcement2.2.html

una-al-dia (21/07/2014) Diversas vulnerabilidades en Apache HTTP Server

http://unaaldia.hispasec.com/2014/07/diversas-vulnerabilidades-en-apache.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Múltiples vulnerabilidades en IBM WebSphere Application Server e IBM HTTP Server

Se han anunciado múltiples vulnerabilidades en IBM WebSphere Application Server (versiones 7, 8, 8.5 y 8.5.5) y en IBM http Server que podrían permitir a un atacante remoto obtener información sensible, evitar restricciones de seguridad o provocar condiciones de denegación de servicio.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Existen tres vulnerabilidades de fuga de información en WebSphere Application Server por páginas de error al cargar URLs específicamente construidas (CVE-2014-3022), por el tratamiento inadecuado de respuestas SOAP (CVE-2014-0965) y por fallos al restringir el acceso a recursos localizados dentro de la aplicación web (CVE-2014-3083).

Por otra parte el servidor de aplicaciones de IBM también se ve afectado por un problema de evasión de restricciones de seguridad (CVE-2014-3070) por una creación de cuenta inadecuada con el Virtual Member Manager SPI Admin Task addFileRegistryAccount. Y una denegación de servicio en WebSphere Application Server en Windows con Load Balancer para IPv4 Dispatcher (CVE-2014-4764).

Otras dos vulnerabilidades afectan a IBM HTTP Server, una denegación de servicio al registrar determinadas cookies en el registro (CVE-2014-0098) y otro problema en el tratamiento de determinados mensajes SSL que podrían provocar un incremento del consumo de CPU (CVE-2014-0963).  

Dada la diversidad de versiones y productos afectados se recomienda consultar el boletín de IBM en:

https://www-304.ibm.com/support/docview.wss?uid=swg21681249

Más información:

Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 8.5.5.3

https://www-304.ibm.com/support/docview.wss?uid=swg21681249

  

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Dos vulnerabilidades en el servidor web Apache

Se han anunciado dos vulnerabilidades en el servidor web Apache que podrían permitir a un atacante remoto obtener información sensible o crear condiciones de cross-site scripting.

El primero de los problemas (con CVE-2012-2687) reside en mod_negotiation, debido a que no filtra adecuadamente el código HTML introducido por el usuario en nombres de archivos de una lista de variables. En webs donde se permite a usuarios remotos subir archivos a un sitio con MultiViews habilitado, un atacante puede provocar la ejecución de código script arbitrario. El fallo fue reportado al equipo de Apache el 31 de mayo, se dio a conocer el 13 de junio, y ha sido reparado en esta versión del día 21.

Por otra parte, mod_proxy_ajp y mod_proxy_http no cierran adecuadamente las conexiones (CVE-2012-3502), lo que permitiría a un atacante remoto obtener la respuesta destinada a una conexión diferente. El fallo se conoció el 16 de agosto y ha sido corregido el día 21.

Apache ha publicado la versión 2.4.3 destinada a corregir estos problemas, que puede descargarse desde: http://httpd.apache.org/download.cgi

Más información:

Apache httpd 2.4 vulnerabilities

http://httpd.apache.org/security/vulnerabilities_24.html

Changes with Apache 2.4.3

http://www.apache.org/dist/httpd/CHANGES_2.4.3

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Nueva versión de Apache HTTP Server

Apache acaba de presentar la última actualización de su rama 2.4, en concreto, se ha publicado la versión 2.4.2.

Apache HTTP Server es el software para servidores HTTP multiplataforma más utilizado en la actualidad. Según las estadísticas de Netcraft en febrero, más de la mitad de los sites activos, concretamente 57.45% hacían uso de este software.

La nueva versión trae consigo gran cantidad de pequeños arreglos y nuevas funcionalidades, tanto en el núcleo de la aplicación como en muchos de los módulos que se incluyen por defecto. Algunos de los cambios han afectado a módulos como 'mod_proxy', 'mod_ssl' o 'mod_session' entre muchos otros. Otro cambio se ha producido en la directiva 'DirectoryIndex' con el valor 'disabled', la encargada de evitar que pueda ser listado el contenido de un directorio. El cambio propicia que la directiva se anteponga ahora a todas las configuraciones anteriores, y no sólo a las de anteriores secciones.

Con respecto a las actualizaciones de seguridad, en este caso vemos que solamente se ha corregido un fallo:

• CVE-2012-0883: Relacionada con el manejo incorrecto de la variable  de entorno 'LD_LIBRARY_PATH'. El fallo podría permitir a un atacante  buscar DSO (dinamyc shared object) en el directorio actual y ejecutar así código arbitrario  con los permisos con los que esté funcionando actualmente Apache. Básicamente, un atacante local podría engañar a la variable para que apunte a un directorio con librerías diferentes y por tanto, ejecutar el código en ellas cuando se lanza por ejemplo, apachectl.

Más información:

Changes with Apache 2.4.2

http://apache.rediris.es//httpd/CHANGES_2.4.2

Apache HTTP Server 2.4.2 (httpd): 2.4.2 is the latest available version

http://httpd.apache.org/download.cgi#apache24

Javier Rascón

jrascon@hispasec.com