Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidades en Apache Server 2.4.X. |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Confidencialidad |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | Apache Server 2.4.x versiones anteriores a la 2.4.3 |
Descripción |
|
|
La Fundación Apache Software ha solucionado diversos bugs y dos vulnerabilidades en la versión Apache Server 2.4.3. recientemente publicada. La primera vulnerabilidad se encuentra en los módulos mod_proxy_ajp y mod_proxy_http. En estos, no siempre se finaliza la conexión, por lo que podría verse afectada la privacidad debido a que la respuesta proporcionada puede mezclar la información de varios usuarios. En el módulo mod_negotiation existe una vulnerabilidad de tipo cross-site scripting, donde usuarios no autenticados podrían llegar a subir archivos. |
|
Solución |
|
|
Ya es posible descargar la versión que corrige los bugs y las 2 vulnerabilidades mencionadas en la página oficial de Apache: http://httpd.apache.org/download.cgi |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2012-3502 CVE-2012-2687 |
| BID | |
Recursos adicionales |
|
|
Apache: http://www.apache.org/dist/httpd/CHANGES_2.4.3 http://httpd.apache.org/security/vulnerabilities_24.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-08-22 |