Apache
Software Foundation ha publicado la
versión 2.2.29 del servidor web Apache, destinada a solucionar cuatro fallos de seguridad que podrían
permitir a un atacante remoto ejecutar código arbitrario o causar denegación de
servicio.
Apache es el servidor web más
popular del mundo, usado por más del 52% de los sitios web, disponible en
código fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.
Esta versión corrige vulnerabilidades
de denegación de servicio en los módulos mod_deflate (con CVE-2014-0118) y mod_cgid
(con CVE-2014-0231). Una condición de carrera en el tratamiento del "scoreboard" que puede dar lugar a
desbordamientos de búfer (con CVE-2014-0226) y un problema que podría permitir la
falsificación de cabeceras HTTP (con CVE-2013-5704).
El equipo de Apache hace notar
que no se ha publicado la versión 2.2.28. Igualmente recomienda a los usuarios
de la rama 2.2 actualizar a la rama 2.4 (según Apache la mejor versión
disponible). Esta versión 2.2.29 se considera como versión de mantenimiento y
se ofrece para aquellos usuarios que no puedan actualizar a la rama 2.4 en este
momento. Algunas de las
vulnerabilidades corregidas,
ya
fueron solucionadas en la rama 2.4 el pasado mes de julio.
Tanto Apache 2.4 como 2.2.29 están
disponibles desde:
Más información:
Apache HTTP Server 2.2.29 Released
una-al-dia (21/07/2014) Diversas
vulnerabilidades en Apache HTTP Server
Antonio Ropero
