El 30 de mayo de 2014 los expertos de seguridad de Apache detectaron una vulnerabilidad grave de seguridad en su software Apache Tomcat. Por motivos desconocidos, esta vulnerabilidad ha estado presente 9 meses más desde que fue identificada y reportada por primera vez hasta que, finalmente, Apache ha lanzado una actualización de su servidor web donde se soluciona este fallo de seguridad.
Apache Tomcat es un servidor web de código abierto desarrollado por la compañía Apache que permite a los usuarios montar y gestionar páginas web. Mantener un software seguro y bien configurado es vital para garantizar la seguridad de nuestra página web, sin embargo, es posible que en algunas ocasiones la seguridad no dependa directamente de nosotros, sino que podamos vernos expuestos debido a un fallo por parte de los desarrolladores.
Detalle de la vulnerabilidad
- Este fallo de seguridad, denominado como CVE-2014-0227, permitía enviar paquetes mal formados a través del protocolo HTTP. Estos paquetes modificados podrían causar que el servidor web leyera parte de este paquete como una solicitud nueva, pudiendo llegar a saltarse determinadas restricciones del cortafuegos y llegar así a acceder al sistema con total libertad.
- Las nuevas versiones de este software que permiten garantizar la seguridad de los usuarios corresponden con Apache Tomcat 8.0.9, 7.0.55 y 6.0.43. Estas versiones actualizadas pueden descargarse sin coste alguno desde la web principal de la compañía.
- Apache Tomcat es uno de los servidores web más utilizados de todo Internet, por lo que es de vital importancia tanto que los desarrolladores garanticen cierto nivel de seguridad que evite que piratas informáticos puedan comprometer la seguridad de esta herramienta como que los administradores web configuren correctamente la herramienta de cara a evitar errores en la configuración. Por el momento, esta nueva versión soluciona las vulnerabilidades de seguridad abiertas y conocidas de la herramienta, por lo que su uso vuelve a ser seguro.
