Vulnerabilidades en el servidor web Apache (Parchea!)

Se han anunciado dos vulnerabilidades en el servidor web Apache que podrían permitir a un atacante remoto obtener información sensible o crear condiciones de cross-site scripting.

El primero de los problemas (con CVE-2012-2687) reside en mod_negotiation, debido a que no filtra adecuadamente el código HTML introducido por el usuario en nombres de archivos de una lista de variables. En webs donde se permite a usuarios remotos subir archivos a un sitio con MultiViews habilitado, un atacante puede provocar la ejecución de código script arbitrario. El fallo fue reportado al equipo de Apache el 31 de mayo, se dio a conocer el 13 de junio, y ha sido reparado en esta versión del día 21.

Por otra parte, mod_proxy_ajp y mod_proxy_http no cierran adecuadamente las conexiones (CVE-2012-3502), lo que permitiría a un atacante remoto obtener la respuesta destinada a una conexión diferente. El fallo se conoció el 16 de agosto y ha sido corregido el día 21.

Apache ha publicado la versión 2.4.3 (cambios) destinada a corregir estos problemas.

FuenteHispasec

Share

This entry was posted in bugs, empresas, hardening, seguridad, servicios web, updates, webs. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.