Sistemas Afectados
Apache en versiones anteriores a la 2.4.3 cuando se utilizan los módulos mod_proxy_ajp, mod_proxy_http y mod_negotiation.
Descripción
Apache acaba de lanzar una nueva versión de su servidor Web para dar solución a las dos vulnerabilidades: CVE-2012-3502 y CVE-2012-2687.
Solución
Actualizar lo antes posible a la versión 2.4.3 de Apache.
Detalle
La vulnerabilidad CVE-2012-2687, afecta a la función “make_variant_list” en el módulo “mod_negotiation”, en el caso de tener activada la opción Multiviews, ya que no restringe el uso de código HTML en la lista de ficheros que se pasan como parámetro. La vulnerabilidad CVE-2012-3502, está relacionado con un problema en el cierre de las conexiones.
La explotación de estas vulnerabilidades podría producir:
- Ataque de ejecución de secuencias de comandos en sitios cruzados (XSS), pudiendo llegar a ejecutar código en el servidor afectado.
- Obtener respuestas de otras conexiones distintas a las nuestras.
Deja un comentario