Noticias y Alertas
Header

Corrigen vulnerabilidades en Apache HTTP Server y BIND 9

junio 26th, 2017 | Posted by kwelladm in Análisis Forense / Vulnerabilidades | Publicaciones

Apache Software Foundation ha publicado nuevas versiones del servidor web Apache destinadas a solucionar cinco vulnerabilidades importantes que podrían permitir a un atacante evitar restricciones de seguridad o provocar condiciones de denegación de servicio.

El primer problema reside en el uso de ap_get_basic_auth_pw() por módulos de terceras partes fuera de la fase de autenticación uqe podría dar lugar a que un atacante pueda evitar los requisitos de autenticación (CVE-2017-3167).

También se corrigen vulnerabilidades de denegación de servicio por desreferencia de puntero nulo en mod_ssl cuando otros módulos llaman ap_hook_process_connection() durante una petición HTTP a un puerto HTTPS (CVE-2017-3169). Y por otras dos sobrelecturas de búfer en ap_find_token() (con CVE-2017-7668) y mod_mime (CVE-2017-7679). Por último, una denegación de servicio por desreferencia de puntero nulo (CVE-2017-7659) en mod_http2 a través de peticiones HTTP/2 maliciosas, que solo afecta a Apache 2.4.25.

El equipo de Apache recomienda a los usuarios de la rama 2.2 actualizar a la rama 2.4, a la versión 2.4.26 que además incluye nuevas funcionalidades y mejoras. Esta versión 2.2.33 se considera como versión de mantenimiento y se ofrece para aquellos usuarios que no puedan actualizar a la rama 2.4 en este momento.

Se han publicado parches individuales para la versión 2.2.33 para cada una de las vulnerabilidades. Las nuevas versiones Apache 2.4.26 como 2.2.33 ya están disponibles para descarga.

BIND 9

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar dos vulnerabilidades (una considerada de gravedad crítica y otra de importancia media).

Además, por problemas de integración con el uso de LMDB en BIND 9.11.0 and 9.11.1 el ISC recomienda desactivar LMDB, hasta la publicación de BIND 9.11.2 (en julio o agosto).

Se recomienda actualizar a las versiones más recientes BIND 9 versión 9.9.10-P1, 9.10.5-P1 y 9.11.1-P1.

Fuente: Hispasec

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario