Miembros de
Boletines de Vulnerabilidades |
Actualización de Apache HTTP Server |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de privilegios |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Comercial Software |
| Software afectado | Apache HTTP Server before 2.4.2 |
Descripción |
|
|
Apache acaba de presentar la última actualización de su rama 2.4, en concreto, se ha publicado la versión 2.4.2. CVE-2012-0883: Relacionada con el manejo incorrecto de la variable de entorno 'LD_LIBRARY_PATH'. El fallo podría permitir a un atacante buscar DSO (dinamyc shared object) en el directorio actual y ejecutar así código arbitrario con los permisos con los que esté funcionando actualmente Apache. Básicamente, un atacante local podría engañar a la variable para que apunte a un directorio con librerías diferentes y por tanto, ejecutar el código en ellas cuando se lanza por ejemplo, apachectl. |
|
Solución |
|
| Aplicación de la actualización 2.4.2 de Apache HTTP Server | |
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2012-0883 |
| BID | |
Recursos adicionales |
|
|
Apache Software Foundation and Apache HTTP Server Project Announcement http://www.apache.org/dist/httpd/Announcement2.4.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-04-19 |