Descarga aquí
el PDF gratis
2004

Oct
01

01/10/2004 Nueva actualización de Apache HTTP Server

Apenas una semana desde la última actualización, la "Apache Software
Foundation" y "The Apache HTTP Server Project" han anunciado la
publicación de la versión 2.0.52 de Apache HTTP Server ("Apache").

Apache es el servidor web más popular del mundo, disponible en
código fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.
En Septiembre de 2004, Apache era la elección de casi el 68% de los
servidores web de Internet.

La nueva versión de Apache corrige una vulnerabilidad de seguridad
introducida de forma inadvertida en la versión anterior. La
vulnerabilidad permite que un usuario remoto acceda a recursos
protegidos a pesar de lo que se indique en la configuración Apache. El
problema afecta exclusivamente a la versión 2.0.51 de este popular
servidor web.

Los administradores de Apache 2.0.51 pueden recompilar el servidor
tras aplicar el siguiente parche:

  SECURITY: CAN-2004-0811 (cve.mitre.org)
  Fix merging of the Satisfy directive, which was applied to
  the surrounding context and could allow access despite configured
  authentication.  (a regression in 2.0.51)
  PR: 31315
  Submitted by: Rici Lake <rici ricilake.net>
  --- httpd-2.0/server/core.c 2004/08/31 08:16:56 1.225.2.27
  +++ httpd-2.0/server/core.c 2004/09/21 13:21:16 1.225.2.28
  @@ -351,9 +351,13 @@
       /* Otherwise we simply use the base->sec_file array
        */
 
  +    /* use a separate ->satisfy[] array either way */
  +    conf->satisfy = apr_palloc(a, sizeof(*conf->satisfy) * METHODS);
       for (i = 0; i < METHODS; ++i) {
           if (new->satisfy[i] != SATISFY_NOSPEC) {
               conf->satisfy[i] = new->satisfy[i];
  +        } else {
  +            conf->satisfy[i] = base->satisfy[i];
           }
       }

No obstante, Hispasec recomienda a los administradores de servidores
Apache 2.0.* que actualicen a la versión 2.0.52 que, además del problema
de seguridad descrito, soluciona otros bugs menores.



Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2169/comentar

Más Información:

Fix merging of the Satisfy directive, which was applied to
the surrounding context and could allow access despite configured
authentication.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0811

Changes with Apache 2.0.52
http://www.apache.org/dist/httpd/CHANGES_2.0.52

SECURITY: CAN-2004-0811 (cve.mitre.org)
http://www.apache.org/dist/httpd/patches/apply_to_2.0.51/CAN-2004-0811.patch

Overview of security vulnerabilities in Apache httpd 2.0
http://www.apacheweek.com/features/security-20

The Apache HTTP Server Project
http://httpd.apache.org/

September 2004 Web Server Survey
http://news.netcraft.com/archives/web_server_survey.html

22/09/2004 - Actualización de Apache HTTP Server
http://www.hispasec.com/unaaldia/2160

Jesús Cea Avión



Hispasec Sistemas | Copyright © 1998-2010