Avisos 24 de August, 2012

Actualització Apache HTTP Server

La fundació Apache ha publicat una actualització associada al seu producte Apache HTTP Server. Aquesta soluciona dues vulnerabilitats amb nivell d'impacte, important i baix respectivament.

Impacte

Revelació d'informació, execució de codi a llocs creuats (XSS).

Productes afectats

  • Apache HTTP Server 2.4.1 i 2.4.2.

Solució

Segons les indicacions del fabricant, actualitzar els servidors a la nova versió que soluciona les vulnerabilitats.

Detall

La nova versió 2.4.3 soluciona dues vulnerabilitats:

  • CVE-2012-3502: la funcionalitat mod_proxy_ajp.c al mòdul mod_proxy_ajp, i mod_proxy_http.c al mòdul mod_proxy_http que no identifiquen adequadament les situacions que requereixen el tancament d'una connexió. Aquest pot ser aprofitat per un atacant para obtenir informació sensible sota determinades circumstancies, mitjançant la lectura d'una resposta que estava dirigida a un tercer.
  • CVE-2012-2687: múltiples vulnerabilitats de tipus execució de codi, tipus script a llocs creuats (XSS), a la funció make_variant_list del mòdul mod_negotiation. Perquè aquestes vulnerabilitats siguin explotables, l'opció MultiViews ha d'estar activada. Un atacant podria injectar codi HTML, o script mitjançant un nom de fitxer que no es tracta correctament en la construcció d'una llista de variants.

Referències

Publicat a: Avisos