Actualización de seguridad para Apache 2.x

La Fundación Apache publica una actualización del servidor web Apache 2.x, que elimina dos vulnerabilidades de seguridad.

Apache es el software para servidores web más popular existente en la actualidad. Según las estadísticas de Netcraft, en mayo de 2003 existen más de 25 millones de servidores web que utilizan Apache accesibles en Internet, lo que representa más del 60 por ciento del total.

En la actualidad existen dos ramas del servidor web: Apache 1.3.x y Apache 2.0.x. Esta última es una importante actualización de las versiones 1.3, pensada para ofrecer algunas prestaciones nuevas (como la utilización de threads, de forma que se mejora la capacidad de escalabilidad), una mayor compatibilidad en entornos no Unix (Windows, OS/2, BeOS…), soporte de IPv6, etc. Por otra parte, Apache 2.0.x viene a solucionar algunas de las principales limitaciones o situaciones problemáticas de Apache 1.3.x, como pueden ser los problemas de prioridad de los módulos.

Acaba de publicarse una nueva versión de la rama 2.0 que tiene por objetivo solucionar dos vulnerabilidades de seguridad que pueden ser utilizadas en ataques de denegación del servicio.

La primera de las nuevas vulnerabilidades, que afecta a las versiones 2.0.37 y superiores hasta la 2.0.45, provoca la detención inesperada del servidor y puede ser utilizada por un atacante remoto. No se han publicado los detalles específicos de esta vulnerabilidad, que se harán públicos el 30 de mayo.

La segunda nueva vulnerabilidad afecta a las versiones 2.0.40 y posteriores hasta la 2.0.45 en las plataformas Unix. Se trata de un problema en el módulo de autenticación básica y puede ser utilizado por un atacante remoto para provocar una condición de denegación de servicio, impidiendo la validación de los usuarios hasta que Apache no sea reinicio.

Por otra parte, esta versión incluye las actualizaciones de seguridad específicas para la versión de OS/2 de Apache que permiten eliminar el problema reportado a principios del pasado mes de abril (ver el boletín del pasado 4 de abril).

Esta nueva versión, ya disponible, puede descargarse en http://httpd.apache.org/download.cgi. Desde Hispasec aconsejamos la descarga e instalación de esta nueva versión, para evitar posibles ataques de denegación de servicio.