Actualización Apache 1.3.* y mod_ssl
La fundación Apache ha publicado una actualización de seguridad de la serie 1.3 de su popular servidor web.
Apache es el servidor web más popular del mundo, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare. En Septiembre de 2004, Apache era la elección de casi el 68 por ciento de los servidores web de Internet.
Las versiones no actualizadas de la serie 1.3 de Apache permiten que un atacante remoto pueda matar procesos Apache y, bajo ciertas circunstancias, ejecutar código arbitrario en el servidor.
El problema radica en un desbordamiento de búfer en el módulo “proxy_util.c”, en concreto en la gestión de valores negativos en la cabecera HTTP “Content-Length”. Todas las instalaciones Apache 1.3.* que utilicen el módulo “mod_proxy” son susceptibles de ataque, si acceden a servidores no confiables.
Se recomienda a todos los administradores de servidores Apache 1.3.* que actualicen con urgencia a la versión 1.3.32.
Por otra parte, se ha publicado también la versión 2.8.21 del módulo “mod_ssl”, que soluciona diversos problemas de seguridad y es la versión a emplear con Apache 1.3.32. El módulo “mod_ssl” amplía las capacidades del servidor Apache 1.3.* tradicional para soportar también conexiones SSL/TLS.