Apache ha lanzado un aviso después de descubrir múltiples vulnerabilidades que ponen en riesgo a los usuarios. Instan a actualizar lo antes posible los servidores HTTP Apache. Estas vulnerabilidades afectan a muchas versiones de Apache 2.4 y los usuarios deben actualizar cuanto antes a la versión 2.4.39. Como siempre indicamos, es muy importante tener los sistemas actualizados y con los últimos parches de seguridad para evitar sufrir algún tipo de ataque.

Detectan vulnerabilidades importantes que afectan a los servidores HTTP Apache

En total han detectado 6 vulnerabilidades que afectan a Apache HTTP Server. 3 de ellas han sido consideradas como de severidad alta, mientras que el resto han sido calificadas como baja.

Una de las vulnerabilidades ha sido nombrada como CVE-2019-0221. Este código se ejecuta en procesos o subprocesos secundarios con pocos privilegios. En caso de que lograran explotar esta vulnerabilidad permitiría a un atacante ejecutar código arbitrario.

Otra vulnerabilidad ha sido identificada como CVE-2019-0217. En este caso permitiría a un posible atacante que tenga las credenciales necesarias poder autentificarse con otro nombre de usuario. Podría omitir así las restricciones de control de acceso. Afecta a la secuencia de mod_auth_digest.

La tercera y última vulnerabilidad que han calificado como de severidad alta la han denominado CVE-2019-0215. En este caso es un error en mod_ssl. En esta ocasión podría permitir a un atacante eludir las restricciones de control de acceso. Este atacante tiene que soportar la autenticación Post-Handshake.

Hay que mencionar que estas son las tres vulnerabilidades que han sido indicadas como más graves. Sin embargo como hemos visto hay otras tres de menor importancia. Estas vulnerabilidades han sido denominadas como CVE-2019-0197, CVE-2019-0196 y CVE-2019-0220.

Todas ellas afectan a las versiones comprendidas entre la 2.4.17 y la 2.4.38 del servidor HTTP Apache 2.4.

Cómo actualizar Apache

Para actualizar Apache lo primero que tenemos que hacer es parar el servidor. Es importante guardar la carpeta del servidor de Apache y posteriormente descargar la nueva versión que queremos instalar, que en este caso es la 2.4.39.

Como siempre indicamos, es importante descargar todo tipo de archivos desde fuentes oficiales. De esta forma evitamos software que haya podido ser modificado de forma maliciosa.

En la web oficial de Apache nos muestran el link para descargar de manera segura los archivos oficiales para el instalador para el sistema operativo Windows. Aquí también podemos encontrar el documento oficial donde indican los pasos necesarios.

Lo que hacemos posteriormente es descomprimir el archivo en el mismo directorio donde estaba ya instalado previamente. Podemos simplemente cambiar de nombre al directorio anterior y de esta forma tener una copia de seguridad en caso de que surja algún problema, como nos informan en esta web.

En definitiva, han detectado importantes vulnerabilidades que afectan al servidor de Apache HTTP. Nuestro consejo es actualizar lo antes posible. Hay que mencionar que además de corregir problemas de seguridad, con cada actualización suelen venir algunas mejoras de funcionalidad. Por ello siempre aconsejamos mantener las últimas versiones instaladas. No solamente por seguridad, sino para contar con las últimas mejoras de rendimiento disponibles.