Gobierno Digital
  Inicio | Sociedad de la Información | Marco Jurídico | Opciones tecnológicas | Publicación Abierta
Estás en: Inicio > Opciones tecnológicas > Nueva actualización de Apache HTTP Server
Nueva actualización de Apache HTTP Server
01.10.2004

Nota recibida por correo-e

-------------------------------------------------------------------
Hispasec - una-al-día 01/10/2004
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Nueva actualización de Apache HTTP Server
-----------------------------------------

Apenas una semana desde la última actualización, la "Apache Software Soundation" y "The Apache HTTP Server Project" han anunciado la publicación de la versión 2.0.52 de Apache HTTP Server ("Apache").

Apache es el servidor web más popular del mundo, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare. En Septiembre de 2004, Apache era la elección de casi el 68% de los servidores web de Internet.

La nueva versión de Apache corrige una vulnerabilidad de seguridad introducida de forma inadvertida en la versión anterior. La vulnerabilidad permite que un usuario remoto acceda a recursos protegidos a pesar de lo que se indique en la configuración Apache. El problema afecta exclusivamente a la versión 2.0.51 de este popular servidor web.

Los administradores de Apache 2.0.51 pueden recompilar el servidor tras aplicar el siguiente parche:

>>>>>

SECURITY: CAN-2004-0811 (cve.mitre.org)

Fix merging of the Satisfy directive, which was applied to
the surrounding context and could allow access despite configured
authentication. (a regression in 2.0.51)

PR: 31315
Submitted by: Rici Lake

--- httpd-2.0/server/core.c 2004/08/31 08:16:56 1.225.2.27
+++ httpd-2.0/server/core.c 2004/09/21 13:21:16 1.225.2.28
@@ -351,9 +351,13 @@
/* Otherwise we simply use the base->sec_file array
*/

+ /* use a separate ->satisfy[] array either way */
+ conf->satisfy = apr_palloc(a, sizeof(*conf->satisfy) * METHODS);
for (i = 0; i < METHODS; ++i) {
if (new->satisfy[i] != SATISFY_NOSPEC) {
conf->satisfy[i] = new->satisfy[i];
+ } else {
+ conf->satisfy[i] = base->satisfy[i];
}
}

<<<<<

No obstante, Hispasec recomienda a los administradores de servidores Apache 2.0.* que actualicen a la versión 2.0.52 que, además del problema de seguridad descrito, soluciona otros bugs menores.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2169/comentar

Más Información:

Fix merging of the Satisfy directive, which was applied to the surrounding context and could allow access despite configured authentication.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0811

Changes with Apache 2.0.52
http://www.apache.org/dist/httpd/CHANGES_2.0.52

SECURITY: CAN-2004-0811 (cve.mitre.org)
http://www.apache.org/dist/httpd/patches/apply_to_2.0.51/CAN-2004-0811.patch

Overview of security vulnerabilities in Apache httpd 2.0
http://www.apacheweek.com/features/security-20

The Apache HTTP Server Project
http://httpd.apache.org/

September 2004 Web Server Survey
http://news.netcraft.com/archives/web_server_survey.html

22/09/2004 - Actualización de Apache HTTP Server
http://www.hispasec.com/unaaldia/2160


Jesús Cea Avión
jcea@hispasec.com

Publicado por JorgeS el Octubre 1, 2004 04:50 PM
Comentarios
Haga un comentario















volver volver a la página anterior | Subir subir