Boletines de Vulnerabilidades

int(6553)

Boletines de Vulnerabilidades

Aviso de Seguridad de Debian
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Integridad
Dificultad	Avanzado
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio estandar
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	GNU/Linux
Software afectado	Apache2 versiones 2.2.X
Descripción
Una vulnerabilidad ha sido encontrada en el servidor httpd Apache: CVE-2012-4557 Un error se encontro al mod_proxy_ajp se conecta un servidor back-end que tarda demasiado en responder. Dada una configuración específica, un atacante remoto podría enviar algunas solicitudes, poniendo un servidor back-end en un estado de error hasta que se vuelva a intentar. Esto podría conducir a una denegación de servicio temporal. Además, esta actualización también añade una mitigación del lado del servidor para el problema siguiente: CVE-2012-4929 Si se utiliza SSL/TLS HTTPS con la compresión de datos en una conexión a un navegador web, gracias a un ataque man-in-the-middle los atacantes pueden obtener el texto plano de las cabeceras HTTP. Este problema se conoce como el "CRIME" ataque. Esta actualización deshabilita la compresión de apache2 SSL de forma predeterminada.
Solución
Para la distribución estable (squeeze), estos problemas se han corregido en la versión 2.2.16-6 + squeeze10. Para la distribución de pruebas, estos problemas se han corregido en la versión 2.2.22-12. Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.2.22-12. Le recomendamos que actualice el paquete apache2.
Identificadores estándar
Propiedad	Valor
CVE	CVE-2012-4557, CVE-2012-4929.
BID
Recursos adicionales
Security Focus http://www.securityfocus.com/archive/1/524868 Pagina de Debian http://www.debian.org/security/2012/dsa-2579 Security-tracker http://security-tracker.debian.org/tracker/CVE-2012-4557 http://security-tracker.debian.org/tracker/CVE-2012-4929