Avisos 27 de March, 2012

Actualització Apache Traffic Server

La fundació Apache ha publicat una actualització associada al seu producte Apache Traffic Server. Aquesta soluciona una vulnerabilitat important que permetria a un atacant de manera remota, no autenticada, provocar una denegació de servei mitjançant tràfic HTTP manipulat.

Recursos afectats:
Apache Traffic Server 3.0.2 i totes les versions anteriors 2.0.x i 3.0.x
 Apache Traffic Server 3.1.2 i totes les versions anteriors 2.1.x i 3.1.x
 

Impacte:

Denegació de servei, possible execució remota de codi (sense confirmació).


Solució:

Segons les indicacions del fabricant, actualitzar els servidors a una de les versions que solucionen la vulnerabilitat.


Detall:

La vulnerabilitat va ésser descoberta amb l'eina Codenomicon HTTP Server Test Suite, dins del projecte Codenomicon CROSS, i la seva publicació ha estat coordinada mitjançant el CERT-FI de Finlàndia.
 
El problema resideix a l'assignació de la memòria "heap" que permet a un atacant remot provocar un tancament inesperat fent ús d'una capçalera HTTP Host molt llarga.
 
L'identificador de la vulnerabilitat és CVE-2012-0256.
 
Referències
 Avís de seguretat de CERT-FI
 https://www.cert.fi/en/reports/2012/vulnerability612884.html
 Informació sobre la vulnerabilitat a la base de dades de NIST
 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0256
 Avís de la fundació Apache a la llista de correu www-announce
 https://mail-archives.apache.org/mod_mbox/www-announce/201203.mbox/%3C4F6B6649.9000507@apache.org%3E

Publicat a: Avisos