• Tweet

La organización de software libre Apache Software Foundation ha liberado una nueva versión de su producto insignia Apache HTTP Server para corregir varias vulnerabilidades de seguridad.

El nuevo Apache 2.2.17 contiene parches para huecos de seguridad que podrían conducir a ataques de denegación de servicio, de acuerdo a un aviso.

A continuación una descripción de las vulnerabilidades:

* Un error de tipo buffer over-read se encontró en la biblioteca expat incluida. Un atacante que sea capaz de lograr que Apache analice sintácticamente un documento XML no confiable (por ejemplo, a través de mod_dav) puede causar que el sistema falle. Esta falla sólo sería una denegación de servicio si se utiliza el worker MPM.

* Un error fue encontrado en la función apr_brigade_split_line() de la librería incluida APR-util, la cual se utiliza para procesar las solicitudes no SSL. Un atacante remoto podría enviar las solicitudes, creando cuidadosamente la sincronización de bytes individuales, que poco a poco consumirían memoria, conduciendo potencialmente hacia una denegación de servicio.

La versión 2.2.17 de Apache HTTP Server está disponible para descarga aquí

También vea:

* Apache.org hit by targeted XSS attack, passwords compromised

* Apache.org hit by SSH key compromise