Vulnerability Bulletins |
Aviso de Seguridad de Debian |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Integridad |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | Apache2 versiones 2.2.X |
Description |
|
Una vulnerabilidad ha sido encontrada en el servidor httpd Apache: CVE-2012-4557 Un error se encontro al mod_proxy_ajp se conecta un servidor back-end que tarda demasiado en responder. Dada una configuración específica, un atacante remoto podría enviar algunas solicitudes, poniendo un servidor back-end en un estado de error hasta que se vuelva a intentar. Esto podría conducir a una denegación de servicio temporal. Además, esta actualización también añade una mitigación del lado del servidor para el problema siguiente: CVE-2012-4929 Si se utiliza SSL/TLS HTTPS con la compresión de datos en una conexión a un navegador web, gracias a un ataque man-in-the-middle los atacantes pueden obtener el texto plano de las cabeceras HTTP. Este problema se conoce como el "CRIME" ataque. Esta actualización deshabilita la compresión de apache2 SSL de forma predeterminada. |
|
Solution |
|
Para la distribución estable (squeeze), estos problemas se han corregido en la versión 2.2.16-6 + squeeze10. Para la distribución de pruebas, estos problemas se han corregido en la versión 2.2.22-12. Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.2.22-12. Le recomendamos que actualice el paquete apache2. |
|
Standar resources |
|
Property | Value |
CVE |
CVE-2012-4557, CVE-2012-4929. |
BID | |
Other resources |
|
Security Focus http://www.securityfocus.com/archive/1/524868 Pagina de Debian http://www.debian.org/security/2012/dsa-2579 Security-tracker http://security-tracker.debian.org/tracker/CVE-2012-4557 http://security-tracker.debian.org/tracker/CVE-2012-4929 |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2012-12-04 |