Categories: SeguridadVirus

Un agujero de seguridad descubierto hace 15 años vuelve a movilizar a los desarrolladores web

Una peligrosa vulnerabilidad que se descubrió en 2001 ha vuelto a repuntar, afectando a códigos de programación de servidor web, como PHP, Go, Apache HTTP, Apache TomCat, PHP-engine HHVM y Python, tal y como ha revelado The Register.

Dependiendo del software afectado se ha asignado un número diferente de CVE: CVE-2016-5385 (PHP), CVE-2016-5386 (Go), CVE-2.016-5387 (Apache HTTP), CVE-2016-5388 (Apache Tomcat), CVE-2016-1.000.109 (HHVM) y CVE-2016-1.000.110 (Python).

El agujero afecta a aplicaciones web que corren en entornos CGI o similar, originado por un conflicto de nombres.

Básicamente, se utiliza la cabecera HTTP Proxy en una petición a la aplicación para establecer una variable de entorno común en el servidor de la aplicación. La app, debido a la confusión de nombres, utiliza el servidor proxy definido por esa variable para cualquiera de sus conexiones HTTP salientes.

De esta forma, el fallo puede explotarse para rebuscar en los entresijos de sitios web vulnerables y potencialmente acceder a datos sensibles o tomar el control del código.

Aunque la vulnerabilidad fue descubierta hace más de 15 años en diferentes aplicaciones de software, para esta nueva variable los investigadores recomiendan a los desarrolladores bloquear de inmediato la cabecera de proxy y evitar así que sus dominios web queden comprometidos.

Rosalía Rozalén

Periodista especializada en Tecnología desde hace más de una década. Primero informando sobre el canal de distribución, después sobre las grandes corporaciones y ahora hacia un enfoque más IT Pro. Apasionada de la comunicación con la revolución social media que estamos viviendo.

Recent Posts

Pure Storage lanza nuevos servicios en almacenamiento, archivos en tiempo real y flexibilidad financiera

Pure Storage lanza servicios de archivos en tiempo real y Créditos Universales, ofreciendo mayor agilidad…

59 mins ago

Cegid añade agentes inteligentes a sus soluciones de gestión empresarial

Los agentes de Cegid Pulse, construidos con inteligencia artificial, están disponibles en software de ERP,…

21 horas ago

Equifax escoge a Jon Egaña como General Manager para Iberia

Este directivo se pone al frente del Comité Ejecutivo de la compañía en la península…

22 horas ago

HPE Private Cloud AI permitirá a las empresas desplegar asistentes virtuales en segundos

Hewlett Packard Enterprise anuncia un acelerador de soluciones para que los desarrolladores creen chatbots capaces…

22 horas ago

Lenovo lleva la tecnología de refrigeración líquida Neptune a más servidores

Anuncia la infraestructura de supercomputación Lenovo ThinkSystem SC750 V4 con procesadores Intel Xeon 6.

23 horas ago

Vertiv introduce armarios de baterías de ion-litio EnergyCore

Estos armarios pueden usarse con la mayoría de sistemas de alimentación ininterrumpida trifásicos de Vertiv,…

23 horas ago