Apache acaba de presentar la última actualización de su rama 2.4, en concreto, se ha publicado la versión 2.4.2.
Apache HTTP Server es el software para servidores HTTP multiplataforma más utilizado en la actualidad. Según las estadísticas de Netcraft en febrero, más de la mitad de los sites activos, concretamente 57.45% hacían uso de este software.
La nueva versión trae consigo gran cantidad de pequeños arreglos y nuevas funcionalidades, tanto en el núcleo de la aplicación como en muchos de los módulos que se incluyen por defecto. Algunos de los cambios han afectado a módulos como ‘mod_proxy‘, ‘mod_ssl‘ o ‘mod_session‘ entre muchos otros. Otro cambio se ha producido en la directiva ‘DirectoryIndex‘ con el valor ‘disabled‘, la encargada de evitar que pueda ser listado el contenido de un directorio. El cambio propicia que la directiva se anteponga ahora a todas las configuraciones anteriores, y no sólo a las de anteriores secciones.
Con respecto a las actualizaciones de seguridad, en este caso vemos que solamente se ha corregido un fallo:
- CVE-2012-0883: Relacionada con el manejo incorrecto de la variable de entorno ‘LD_LIBRARY_PATH‘. El fallo podría permitir a un atacante buscar DSO (dinamyc shared object) en el directorio actual y ejecutar así código arbitrario con los permisos con los que esté funcionando actualmente Apache. Básicamente, un atacante local podría engañar a la variable para que apunte a un directorio con librerías diferentes y por tanto, ejecutar el código en ellas cuando se lanza por ejemplo, apachectl.
Fuente: Hispasec
