Portada | Monotemáticos | Secciones | Desarrolladores | Comunidad | Servicios | Servicios profesionales | RSS
Desde 0 | HTML | CSS | ASP | PHP | AJAX | Javascript | Diseño web | Promoción web | Ganar dinero
Directorio | Manuales | Scripts | FAQs | Programas | Artículos Copyleft | Actualidad | La Cosecha | Colabora
Registrarse | Vuestras páginas | Foros del web | Lista de correo | Boletín de novedades
Generador METAs | Compras | Busca cursos
Alojamiento | Dominios.es | Micropagos SMS | Buscadores | Patentes, marcas | Creación web | Multimedia | Videos
Desarrollo Freelance | Buscar proyectos | Buscar profesionales | Solicitar desarrollo

Cross-site scripting en Apache 1.3.x, 2.0.x y 2.2.x y denegación de servicio


09/1/08

09/1/08 - Se han anunciado desde la Fundación Apache varias vulnerabilidades en el servidor web Apache que pudieran ser usadas por atacantes remotos para desencadenar una denegación de servicio o perpetrar ataques de cross-site scripting. Los problemas se dan en algunos módulos y afectan a todas las ramas.

Apache es un servidor HTTP de código abierto, eficiente y extensible, para sistemas operativos UNIX y derivados, así como plataformas Microsoft Windows.

En primer lugar, se habla de que la primera vulnerabilidad está originada por un error de validación de entrada en el módulo mod_status al mostrar las páginas de estatus, lo que podría ser usado por un atacante externo para poder ejecutar código HTML o JavaScript arbitrario en el contexto de seguridad del usuario que visita la página afectada. En principio, la opción no está activada por defecto.

En segundo término se nos habla de otra vulnerabilidad que está motivada por otro error de validación de entrada en el módulo mod_proxy_balancer al procesar y mostrar los datos introducidos, produciéndose el mismo efecto que la anterior.

Para terminar, se da también una vulnerabilidad debida a un error producido también en el módulo mod_proxy_balancer, pero en esta ocasión, al manejar peticiones especialmente manipuladas que hacen uso de un módulo multiproceso con threads. Está podría ser explotada por un asaltante remoto para hacer que el proceso hijo afectado dejara de responder, ocasionando así una denegación de servicio.

Para las versiones en desarrollo publicadas, ya se han subsanado otros problemas reconocidos con anterioridad por la Fundación Apache, que afectan a módulos como mod_imagemap y mod_imap.

En las versiones de las ramas en desarrollo 1.3.40-dev, 2.0.62-dev y 2.2.7-dev, los fallos están corregidos y disponibles desde: http://httpd.apache.org/download.cgi

Más información:

Apache httpd 1.3 vulnerabilities http://httpd.apache.org/security/vulnerabilities_13.html
Apache httpd 2.0 vulnerabilities http://httpd.apache.org/security/vulnerabilities_20.html
Apache httpd 2.2 vulnerabilities http://httpd.apache.org/security/vulnerabilities_22.html



Otras noticias

 Autoría, licencia y acciones sobre este artículo


 Comentarios de los visitantes
Aun no hemos recibido comentarios de este artículo.
Puedes ser el primero en enviar tu comentario.



Enlaces:
Maestrosdelweb
  Ir arriba

Monotemáticos
+ Desde 0
+ HTML a fondo
+ CSS a fondo
+ Javascript a fondo
+ Diseño web
+ ASP a fondo
+ PHP a fondo
+ Ajax a fondo
+ Promoción web
+ Ganar dinero
Secciones
+ Directorio
+ Manuales
+ Scripts
+ FAQ
+ Programas
+ Artículos Copyleft
+ Actualidad
+ Y más...
Desarrolladores
+ Buscar trabajo
+ Buscar Freelances
+ Y más...
Servicios
+ Todos los servicios
Servicios profesionales
+ Alojamiento de webs
+ Micropagos SMS
+ Y más...
Comunidad
+ Registrarse
+ Vuestras páginas
+ Y más...

Tienda DesarrolloWeb

DesarrolloWeb.com | Copyright | Anunciese | Acerca de | Datos legales | Contacta | Por GuiarteMultimedia