Boletines de Vulnerabilidades |
Vulnerabilidades en Apache Server 2.4.X. |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Confidencialidad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | Apache Server 2.4.x versiones anteriores a la 2.4.3 |
Descripción |
|
La Fundación Apache Software ha solucionado diversos bugs y dos vulnerabilidades en la versión Apache Server 2.4.3. recientemente publicada. La primera vulnerabilidad se encuentra en los módulos mod_proxy_ajp y mod_proxy_http. En estos, no siempre se finaliza la conexión, por lo que podría verse afectada la privacidad debido a que la respuesta proporcionada puede mezclar la información de varios usuarios. En el módulo mod_negotiation existe una vulnerabilidad de tipo cross-site scripting, donde usuarios no autenticados podrían llegar a subir archivos. |
|
Solución |
|
Ya es posible descargar la versión que corrige los bugs y las 2 vulnerabilidades mencionadas en la página oficial de Apache: http://httpd.apache.org/download.cgi |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2012-3502 CVE-2012-2687 |
BID | |
Recursos adicionales |
|
Apache: http://www.apache.org/dist/httpd/CHANGES_2.4.3 http://httpd.apache.org/security/vulnerabilities_24.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2012-08-22 |