int(368)

Vulnerability Bulletins

Denegación de servicio en Apache 2.0

Vulnerability classification
Property Value
Confidence level Oficial
Impact Denegación de Servicio
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer GNU/Linux
Affected software Apache 2.0.37-2.0.45

Description
Se han descubierto dos vulnerabilidades en las versiones 2.0.37 a 2.0.45 del servidor web Apache. Su explotación podría provocar una denegación de servicio en el servidor.
Dichas vulnerabilidades se han hallado en los módulos "ARP" y "MPM".
El servidor Apache utiliza la librería "ARP" (Apache Portable Runtime), escrita en C, que proporciona un entorno de sistema portable en diversos sistemas operativos.
Con Apache 2.0, la estrategia seguida para procesar las peticiones ha sido sintetizada en el módulo "MPM". En este modelo, un proceso distinto gestiona cada conexión. Por defecto, Apache 2.0 utiliza este modelo en la plataforma Unix. Sin embargo, compilando el servidor Apache 2.0 con la opción "with-mpm=worker", las peticiones al servidor servidor son manejadas mediante "threads".

Solution


Actualización de software
Instale la versión 2.0.46 o posterior
http://httpd.apache.org/download.cgi

Standar resources
Property Value
CVE CAN-2003-0245
CAN-2003-0189
BID

Other resources
Bugtraq archive dated May 28, 2003
http://marc.theaimsgroup.com/?l=bugtraq&m=105418115512559&w=2

Linux Mandrake security advisory MDKSA-2003:063 dated May 30, 2003
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:063

Linux RedHat security advisory RHSA-2003:186 dated May 28, 2003
http://www.redhat.com/support/errata/RHSA-2003-186.html

Apache document
http://www.apache.org/dist/httpd/Announcement2.html

SECURITY BULLETIN HPSBUX0307-269
http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0307-269

Version history
Version Comments Date
1.0 Aviso emitido 2003-06-04
Ministerio de Defensa
CNI
CCN
CCN-CERT