Salto de restricciones de seguridad en mod_ssl

Se ha descubierto una vulnerabilidad en mod_ssl 2.x que permitiría a usuarios maliciosos saltarse determinadas restricciones de seguridad.

“mod_ssl” es un módulo Apache que le dota de la capacidad de soportar sesiones SSL (Secure Socket Layer, el protocolo utilizado en HTTPS).

El problema se debe a un error en el reforzamiento de autenticación a nivel cliente de certificados (“SSLVerifyClient require”) en el contexto por localización si “SSLVerifyClient optional” está activado en la configuración de hosts globales virtuales. Esto permitiría a usuarios maliciosos saltarse el sistema de autenticación y conseguir acceso no autorizado a ciertas páginas web.

Se recomienda actualizar a la versión 2.8.24: http://www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.gz