Apache Software Foundation ha publicado nuevas versiones
del servidor web Apache destinadas a solucionar cinco vulnerabilidades
importantes que podrían permitir a un atacante evitar restricciones de
seguridad o provocar condiciones de denegación de servicio.
Apache es el servidor web más popular del mundo, usado
por cerca de la mitad de los sitios web, disponible en código fuente y para
infinidad de plataformas, incluyendo diversas implementaciones de UNIX,
Microsoft Windows , OS/2 y Novell NetWare.
El primer problema reside en el uso de
ap_get_basic_auth_pw() por módulos de terceras partes fuera de la fase de
autenticación uqe podría dar lugar a que un atacante pueda evitar los
requisitos de autenticación (CVE-2017-3167).
También se corrigen vulnerabilidades de denegación de
servicio por desreferencia de puntero nulo en mod_ssl cuando otros módulos
llaman ap_hook_process_connection() durante una petición HTTP a un puerto HTTPS
(CVE-2017-3169). Y por otras dos sobrelecturas
de búfer en ap_find_token() (con CVE-2017-7668) y mod_mime
(CVE-2017-7679).
Por último, una denegación de servicio por desreferencia
de puntero nulo (CVE-2017-7659) en mod_http2 a través de peticiones http/2
maliciosas, que solo afecta a Apache 2.4.25.
El equipo de Apache recomienda a los usuarios de la rama
2.2 actualizar a la rama 2.4, a la versión 2.4.26 que además incluye nuevas
funcionalidades y mejoras. Esta versión 2.2.33 se considera como versión de
mantenimiento y se ofrece para aquellos usuarios que no puedan actualizar a la
rama 2.4 en este momento.
Se han publicado parches individuales para la versión
2.2.33 para cada una de las vulnerabilidades:
Las nuevas versiones Apache 2.4.26 como 2.2.33 están
disponibles desde:
Más información:
Apache
httpd 2.4.26 Released 2017-06-19 http://www.apache.org/dist/httpd/Announcement2.4.html
Fixed in Apache httpd 2.2.33-dev https://httpd.apache.org/security/vulnerabilities_22.html
Fixed in Apache httpd 2.4.26 https://httpd.apache.org/security/vulnerabilities_24.html
Changes with Apache 2.4.26 http://mirror.vorboss.net/apache//httpd/CHANGES_2.4.26
CVE-2017-3167: Apache httpd 2.x ap_get_basic_auth_pw
authentication bypass http://seclists.org/oss-sec/2017/q2/512
CVE-2017-3169: Apache httpd 2.x mod_ssl null pointer
dereference http://seclists.org/oss-sec/2017/q2/511
CVE-2017-7668: Apache httpd 2.x ap_find_token buffer
overread http://seclists.org/oss-sec/2017/q2/510
CVE-2017-7679: Apache httpd 2.x mod_mime buffer overread http://seclists.org/oss-sec/2017/q2/509
CVE-2017-7659: mod_http2 null pointer dereference http://seclists.org/oss-sec/2017/q2/504
Fuente: Hispasec.com