Cross-site scripting en Apache 1.3.x, 2.0.x y 2.2.x y denegación de servicio

Se han anunciado desde la Fundación Apache varias vulnerabilidades en el servidor web Apache.
Se han anunciado desde la Fundación Apache varias vulnerabilidades en el servidor web Apache que pudieran ser usadas por atacantes remotos para desencadenar una denegación de servicio o perpetrar ataques de cross-site scripting. Los problemas se dan en algunos módulos y afectan a todas las ramas.

Apache es un servidor HTTP de código abierto, eficiente y extensible, para sistemas operativos UNIX y derivados, así como plataformas Microsoft Windows.

En primer lugar, se habla de que la primera vulnerabilidad está originada por un error de validación de entrada en el módulo mod_status al mostrar las páginas de estatus, lo que podría ser usado por un atacante externo para poder ejecutar código HTML o JavaScript arbitrario en el contexto de seguridad del usuario que visita la página afectada. En principio, la opción no está activada por defecto.

En segundo término se nos habla de otra vulnerabilidad que está motivada por otro error de validación de entrada en el módulo mod_proxy_balancer al procesar y mostrar los datos introducidos, produciéndose el mismo efecto que la anterior.

Para terminar, se da también una vulnerabilidad debida a un error producido también en el módulo mod_proxy_balancer, pero en esta ocasión, al manejar peticiones especialmente manipuladas que hacen uso de un módulo multiproceso con threads. Está podría ser explotada por un asaltante remoto para hacer que el proceso hijo afectado dejara de responder, ocasionando así una denegación de servicio.

Para las versiones en desarrollo publicadas, ya se han subsanado otros problemas reconocidos con anterioridad por la Fundación Apache, que afectan a módulos como mod_imagemap y mod_imap.

En las versiones de las ramas en desarrollo 1.3.40-dev, 2.0.62-dev y 2.2.7-dev, los fallos están corregidos y disponibles desde: http://httpd.apache.org/download.cgi

Más información:

Apache httpd 1.3 vulnerabilities http://httpd.apache.org/security/vulnerabilities_13.html
Apache httpd 2.0 vulnerabilities http://httpd.apache.org/security/vulnerabilities_20.html
Apache httpd 2.2 vulnerabilities http://httpd.apache.org/security/vulnerabilities_22.html

Autor

Jhon Nadie

Redacción en DesarrolloWeb.com

Compartir