Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Apache |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Denegación de Servicio |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado |
Apache 2.2.8 Apache 2.2.6 - 2.2.2 Apache 2.2.0 Apache 2.0.64 |
Descripción |
|
Se han encontrado múltiples vulnerabilidades en Apache 2.2.8, 2.2.6, 2.2.5, 2.2.4, 2.2.3, 2.2.2 y 2.2.0. Las vulnerabilidades son descritas a continuación: - CVE-2007-6420: Se ha encontrado una vulnerabilidad de tipo Cross-Site Request Forgery. La vulnerabilidad reside en un error en la validación de la entrada en la interfaz administrativa del módulo "mod_proxy_balancer". Un atacante remoto podría aumentar sus privilegios mediante métodos no especificados. - CVE-2008-2364: La vulnerabilidad reside en un error al manejar un gran número de respuestas interinas en el módulo mod_proxy_http, en la función "ap_proxy_http_process_response()" del fichero "mod_proxy_http.c". Un atacante remoto podría causar una denegación de servicio mediante el envío de un gran número de respuestas interinas. |
|
Solución |
|
Actualización de software Apache Apache 2.2.9 http://httpd.apache.org/download.cgi Hewlett-Packard B.11.11 (IPv4 y IPv6) / HPUXWSA-B219-03-1111ipv6.depot B.11.23 PA-32 / HPUXWSA-B219-03-1123-32.depot B.11.23 IA-64 / HPUXWSA-B219-03-1123-64.depot B.11.31 PA-32 / HPUXWSA-B219-03-1131-32.depot B.11.31 IA-64 / HPUXWSA-B219-03-1131-64.depot ftp://srt80010:srt80010@hprc.external.hp.com/ Red Hat (RHSA-2008:0967-4) RHEL Desktop Workstation (v. 5 cliente) Red Hat Desktop (v. 3) Red Hat Desktop (v. 4) Red Hat Enterprise Linux (v. 5 servidor) Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux Desktop (v. 5 cliente) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 3) Red Hat Enterprise Linux WS (v. 4) https://rhn.redhat.com/ Sun(247666) Solaris 10 /SPARC / patch 120543-12 o posterior Solaris 10 / x86 / patch 120544-12 o posterior http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage Hewlett-Packard (HPSBUX02401) Web Server v3.02 B.11.23 y B.11.31 PA-32 / patch HPUXWSATW-B302-32.depot Web Server v3.02 B.11.23 y B.11.31 IA-64 / patch HPUXWSATW-B302-64.depot Web Server v2.22 B.11.11 PA-32 / patch HPUXWSATW-B222-1111.depot Web Server v2.22 B.11.23 PA-32 / patch HPUXWSATW-B222-1123-32.depot Web Server v2.22 B.11.23 IA-64 / patch HPUXWSATW-B222-1123-64.depot Web Server v2.22 B.11.31 IA-32 / patch HPUXWSATW-B222-1131-32.depot Web Server v2.22 B.11.31 IA-64 / patch HPUXWSATW-B222-1131-64.depot Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux. Hewlett-Packard (HPSBMA02400) Solaris / patch BAC_00641 o posterior Windows / patch BAC_00640 o posterior http://support.openview.hp.com/support.jsp |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2007-6420 CVE-2008-2364 |
BID |
27236 29653 |
Recursos adicionales |
|
Apache httpd 2.2.9 http://httpd.apache.org/security/vulnerabilities_22.html HP SECURITY BULLETIN (HPSBUX02365) http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01539432-1 Red Hat Security Advisory (RHSA-2008:0967-4) https://rhn.redhat.com/errata/RHSA-2008-0967.html Sun Alert Notification (247666) http://sunsolve.sun.com/search/document.do?assetkey=1-66-247666-1 HP SECURITY BULLETIN (HPSBUX02401) http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01650939-1 HP SECURITY BULLETIN (HPSBUX02401) http://www13.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01650939-3 SUSE Security Advisory (SUSE-SR:2009:006) http://www.novell.com/linux/security/advisories/2009_6_sr.html SUSE Security Advisory (SUSE-SR:2009:007) http://www.novell.com/linux/security/advisories/2009_7_sr.html HP SECURITY BULLETIN (HPSBMA02442) https://www13.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01800059 Apache httpd 2.0.64 http://httpd.apache.org/security/vulnerabilities_20.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2008-06-23 |
1.1 | Aviso emitido por HP (HPSBUX02365) | 2008-08-28 |
1.2 | Aviso emitido por Red Hat (RHSA-2008:0967-4) | 2008-11-12 |
1.3 | Aviso emitido por Sun (247666) | 2008-12-16 |
1.4 | Aviso actualizado por Sun (247666) | 2008-12-19 |
1.5 | Aviso emitido por HP (HPSBUX02401) | 2009-02-04 |
1.6 | Aviso actualizado por HP (HPSBUX02401) | 2009-03-02 |
1.7 | Aviso emitido por Suse (SUSE-SR:2009:006) | 2009-03-12 |
1.8 | Aviso emitido por Suse (SUSE-SR:2009:007) | 2009-03-25 |
1.9 | Aviso emitido por HP (HPSBMA02442) | 2010-05-26 |
1.10 | Advisory emitido por Apache | 2010-10-27 |