Actualización de Apache HTTP Server

Apache es el servidor web más popular del mundo, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.

Esta nueva versión de Apache está destinada a corregir varios bugs menores y cinco vulnerabilidades de seguridad:

– Denegación de servicio en la gestión de URIs IPv6. Ello permite que un atacante remoto pueda “matar” un proceso gestor Apache. Dependiendo del rigor del ataque y de la configuración del servidor Apache, la pérdida de rendimiento y el impacto sobre otros visitantes ajenos al ataque puede ser notable.

– Un desbordamiento de búfer permite que usuarios locales obtengan privilegios del demonio Apache a través de la manipulación malintencionada del fichero de control de acceso “.htaccess”.

– El módulo SSL de Apache, cuando se utiliza en modo de “proxy inverso” puede provocar la caída del servidor ante una petición malintencionada.

– Otra vulnerabilidad SSL en Apache permite que un atacante remoto realice un consumo de CPU inusual en el servidor, al provocar que un proceso gestor Apache entre en bucle infinito. Persistiendo en el ataque, se pueden bloquear todos los procesos gestores, ocasionando la pérdida del servicio Apache.

– El módulo DAV Apache es susceptible de causar la caída de un proceso gestor Apache mediante una secuencia específica de peticiones “LOCK”. Como en los casos anteriores, un ataque persistente puede degradar el rendimiento del sistema de forma significativa.

Hispasec recomienda a los administradores de servidores Apache 2.0.* que actualicen a la versión 2.0.51.