Se anunciaron fallos por 2 vulnerabilidades en el servidor web Apache que podrían permitir a un atacante remoto obtener información sensible o crear condiciones de cross-site scripting.

El primero de los problemas (con CVE-2012-2687) reside en mod_negotiation, debido a que no filtra adecuadamente el código HTML introducido por el usuario en nombres de archivos de una lista de variables.

En webs donde se permite a usuarios remotos subir archivos a un sitio con MultiViews habilitado, un atacante puede provocar la ejecución de código script arbitrario.

El fallo fue reportado al equipo de Apache el 31 de mayo, se dio a conocer el 13 de junio, y ha sido reparado en esta versión del día 21.

Por otra parte, mod_proxy_ajp y mod_proxy_http no cierran adecuadamente las conexiones (CVE-2012-3502), lo que permitiría a un atacante remoto obtener la respuesta destinada a una conexión diferente. El fallo se conoció el 16 de agosto y ha sido corregido el día 21.

Apache ha publicado la versión 2.4.3 destinada a corregir estos problemas, que puede descargarse desde:
http://httpd.apache.org/download.cgi

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/08/dos-vulnerabilidades-en-el-servidor-web.html#comments

Más información:

Apache httpd 2.4 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_24.html

Changes with Apache 2.4.3
http://www.apache.org/dist/httpd/CHANGES_2.4.3

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar