Inicio / Alerta Temprana / Avisos Seguridad / Nueva versión de Apache 2.4.3 soluciona problemas de seguridad

Nueva versión de Apache 2.4.3 soluciona problemas de seguridad

Fecha de publicación: 
24/08/2012
Importancia: 
3 - Media
Recursos afectados: 

Apache en versiones anteriores a la 2.4.3 cuando se utilizan los módulos mod_proxy_ajp, mod_proxy_http y mod_negotiation.

Descripción: 
Apache acaba de lanzar una nueva versión de su servidor Web para dar solución a las dos vulnerabilidades: CVE-2012-3502 y CVE-2012-2687.
Solución: 

Actualizar lo antes posible a la versión 2.4.3 de Apache.

Detalle: 

La vulnerabilidad CVE-2012-2687, afecta a la función "make_variant_list" en el módulo "mod_negotiation", en el caso de tener activada la opción Multiviews, ya que no restringe el uso de código HTML en la lista de ficheros que se pasan como parámetro. La vulnerabilidad CVE-2012-3502, está relacionado con un problema en el cierre de las conexiones.

La explotación de estas vulnerabilidades podría producir:

  • Ataque de ejecución de secuencias de comandos en sitios cruzados (XSS), pudiendo llegar a ejecutar código en el servidor afectado.
  • Obtener respuestas de otras conexiones distintas a las nuestras.