Importante fallo en Servidores http Apache

En www.maestrosdelweb.com ya está puesta esta noticia. Apache.org TODAVIA no a reparado la vulnerabilidad por lo tanto los administradores de este servidor http debería tener mucho cuidado.

Se trata de un fallo de tamaño de buffer en el "codificamiento por trozos" (chunk encoding). Esto puede causar que un proceso hijo de apache caiga y se reinicie, pero también podría llegar a modificar la pila del proceso, pudiendo realizar un cambio de contexto y ejecutar código arbitrario en el servidor. Todavia no hay parche oficial por parte de la Apache Foundation y según veo, el parche de ISS solo cambia el tamaño de una variable (de int a unsigned int) para que los "trozos" que van al buffer sean más pequeños y se llene más tarde (un kludge en estado puro).

En la propia página de Apache.org hay un Advisory que habla de este problema. Se supone que están en ello:

http://httpd.apache.org/info/security_bulletin_20020617.txt

Estén alerta porque el fallo puede ser explotado facilmente máxime cuando no hay todavía parche alguno.

Un saludo,

Estamos siguiendo la noticia. siempre informando... ;)

Lo último sobre este fallo de Apache es:

Se espera que en las próximas horas estén disponibles versiones actualizadas de Apache 1.3 y 2.0 que eliminen esta vulnerabilidad. Aprovechamos para recordar que muchos otros productos (IBM WebSphere, Oracle 9ias...) incluyen servidores web basados en Apache que son, igualmente, vulnerables a este problema.

Un saludo,

Hola

Estaba siguiendo el thread en las listas de Bugtraq y ya existio un parche desde el primer momento, fue proporcionado por la gente de IIS (los mismo que encontraron el fallo) lo que pasa es que segun la gente de Apache este no resuelve en un 100% el problema y las versiones de windows pueden seguir siendo afectadas.

Mientras escribo este mensaje ya tengo la notificacion de que los parches estan listos, ahora estan empaquetando las nuevas versiones para lanzarlas a la brevedad ;)

Eso es rapidez en la solucion de problemas hehehehehe

Saludos

(o> Cesar Villegas Ureta
// "Slayer_X"
V_/_ -----BEGIN GEEK CODE BLOCK Version: 3.1-----
GCS d- s+:+ a- C++ UL+++$ P+ L++ E-- W+++ N+ o? K? w+(---)
O? M+ V- PS+ !PE Y+ PGP++ t-- !5 X++ R tv+ b+++ DI? D+++ G++ e+ h+ r y++* UF+++

Pues si, yo ya tenia constancia del "arreglo" de IIS, pero se advertía desde varios sitios que no solucionaba nada o al menos al 100% como tu dices.

Decir también que aunque el fallo es de cierta importancia y afecta sobre todo a los apache de windows, la respuesta de apache.org a sido muy rápida como bien dice slayer. Así da gusto.



Un saludo,