Apache Software Foundation ha publicado nuevas versiones del servidor web Apache destinadas a solucionar cinco vulnerabilidades importantes que podrían permitir a un atacante evitar restricciones de seguridad o provocar condiciones de denegación de servicio.

Apache es el servidor web más popular del mundo, usado por cerca de la mitad de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.

El primer problema reside en el uso de ap_get_basic_auth_pw() por módulos de terceras partes fuera de la fase de autenticación uqe podría dar lugar a que un atacante pueda evitar los requisitos de autenticación (CVE-2017-3167).

También se corrigen vulnerabilidades de denegación de servicio por desreferencia de puntero nulo en mod_ssl cuando otros módulos llaman ap_hook_process_connection() durante una petición HTTP a un puerto HTTPS (CVE-2017-3169). Y por otras dos sobrelecturas  de búfer en ap_find_token() (con CVE-2017-7668) y mod_mime (CVE-2017-7679).

Por último, una denegación de servicio por desreferencia de puntero nulo (CVE-2017-7659) en mod_http2 a través de peticiones http/2 maliciosas, que solo afecta a Apache 2.4.25.

El equipo de Apache recomienda a los usuarios de la rama 2.2 actualizar a la rama 2.4, a la versión 2.4.26 que además incluye nuevas funcionalidades y mejoras. Esta versión 2.2.33 se considera como versión de mantenimiento y se ofrece para aquellos usuarios que no puedan actualizar a la rama 2.4 en este momento.

Se han publicado parches individuales para la versión 2.2.33 para cada una de las vulnerabilidades:

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3167.patch

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3169.patch

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-7668.patch

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-7679.patch

Las nuevas versiones Apache 2.4.26 como 2.2.33 están disponibles desde:

https://httpd.apache.org/download.cgi

Más información:

Apache httpd 2.4.26 Released 2017-06-19¶

http://www.apache.org/dist/httpd/Announcement2.4.html

Fixed in Apache httpd 2.2.33-dev

https://httpd.apache.org/security/vulnerabilities_22.html

Fixed in Apache httpd 2.4.26

https://httpd.apache.org/security/vulnerabilities_24.html

Changes with Apache 2.4.26

http://mirror.vorboss.net/apache//httpd/CHANGES_2.4.26

CVE-2017-3167: Apache httpd 2.x ap_get_basic_auth_pw authentication bypass

http://seclists.org/oss-sec/2017/q2/512

CVE-2017-3169: Apache httpd 2.x mod_ssl null pointer dereference

http://seclists.org/oss-sec/2017/q2/511

CVE-2017-7668: Apache httpd 2.x ap_find_token buffer overread

http://seclists.org/oss-sec/2017/q2/510

CVE-2017-7679: Apache httpd 2.x mod_mime buffer overread

http://seclists.org/oss-sec/2017/q2/509

CVE-2017-7659: mod_http2 null pointer dereference

http://seclists.org/oss-sec/2017/q2/504

Antonio Ropero

[email protected]

Twitter: @aropero