int(6553)

Vulnerability Bulletins

Aviso de Seguridad de Debian

Vulnerability classification
Property Value
Confidence level Oficial
Impact Integridad
Dificulty Avanzado
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer GNU/Linux
Affected software Apache2 versiones 2.2.X

Description
Una vulnerabilidad ha sido encontrada en el servidor httpd Apache:

CVE-2012-4557

Un error se encontro al mod_proxy_ajp se conecta un servidor back-end que tarda demasiado en responder. Dada una configuración específica, un atacante remoto podría enviar algunas solicitudes, poniendo un servidor back-end en un estado de error hasta que se vuelva a intentar. Esto podría conducir a una denegación de servicio temporal.

Además, esta actualización también añade una mitigación del lado del servidor para el problema siguiente:

CVE-2012-4929

Si se utiliza SSL/TLS HTTPS con la compresión de datos en una conexión a un navegador web, gracias a un ataque man-in-the-middle los atacantes pueden obtener el texto plano de las cabeceras HTTP. Este problema se conoce como el "CRIME" ataque. Esta actualización deshabilita la compresión de apache2 SSL de forma predeterminada.

Solution
Para la distribución estable (squeeze), estos problemas se han corregido en la versión 2.2.16-6 + squeeze10.

Para la distribución de pruebas, estos problemas se han corregido en la versión 2.2.22-12.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.2.22-12.

Le recomendamos que actualice el paquete apache2.

Standar resources
Property Value
CVE CVE-2012-4557,
CVE-2012-4929.
BID

Other resources
Security Focus
http://www.securityfocus.com/archive/1/524868

Pagina de Debian
http://www.debian.org/security/2012/dsa-2579

Security-tracker
http://security-tracker.debian.org/tracker/CVE-2012-4557
http://security-tracker.debian.org/tracker/CVE-2012-4929

Version history
Version Comments Date
1.0 Aviso emitido 2012-12-04
Ministerio de Defensa
CNI
CCN
CCN-CERT