Google detecta tres vulnerabilidades en Apache

2020 08 28 13La Fundación Apache recomienda aplicar parches al popular servidor web.

Recientemente, Apache reparó múltiples vulnerabilidades en su software de servidor web que podrían haber llevado a la ejecución de código aleatorio y, en escenarios específicos, incluso podrían permitir a los atacantes causar un cuelgue y denegación de servicio.

Las fallas, identificadas como CVE-2020-9490, CVE-2020-11984, CVE-2020-11993, fueron descubiertas por Felix Wilhelm del Project Zero de Google, y posteriormente han sido resueltas por la Fundación Apache en la última versión del software (2.4.46).

La primera de las tres incidencias se refiere a una posible vulnerabilidad en la ejecución de código remoto debido a un desbordamiento del búfer con el módulo “mod_uwsgi” (CVE-2020-11984), que podría permitir a un atacante ver, cambiar o eliminar datos sensibles en función de los privilegios asociados a una aplicación ejecutada en el servidor. “Una solicitud maliciosa puede dar lugar a la divulgación de información o a la [ejecución remota de código] de un archivo existente en el servidor que se encuentre en un entorno de proceso malicioso”, señala Apache en su descripción.

Un segundo fallo se refiere a una vulnerabilidad que se desencadena al activarse la funcionalidad de depuración en el módulo “mod_http2” (CVE-2020-11993), que ocasiona declaraciones de registro en la conexión incorrecta y, por lo tanto, da lugar a la corrupción de la memoria debido al uso concurrente del repositorio de registros.

CVE-2020-9490, el más grave de los tres, también reside en el módulo HTTP/2 y utiliza la cabecera “Cache-Digest” especialmente elaborada para causar que la corrupción de la memoria conduzca a una caída y a la denegación del servicio. Cache Digest es parte de una función de optimización web ahora en desuso que tiene por objeto resolver un problema con la funcionalidad push del servidor -que permite al servidor enviar anticipadamente respuestas a un cliente- permitiendo que los clientes informen al servidor de su contenido recién almacenado en la memoria caché, evitando así el desperdicio de ancho de banda en el envío de recursos que ya están en la memoria caché del cliente.

Por lo tanto, al inyectar un valor especialmente elaborado en la cabecera “Cache-Digest” en una solicitud HTTP/2, es posible causar una caída del servidor cuando este envía un paquete push. En los servidores sin parches, este problema puede resolverse desactivando la función push del servidor HTTP/2.

Aunque actualmente no hay reportes de que estas vulnerabilidades estén siendo explotadas, es esencial instalar los parches y actualizar el software, recomienda la Fundación Apache.

Fuente:

Si te gustó, compartilo:

Para poder comentar ingrese al sitio

Beneficios Socios

Vinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo Slider

Actividades

ico_jiap.png ico_interjiap.png ico_socios.png
ico_ptu.png ico_claustro.png ico_premiogranato.png
ico_aap.png ico_green.png ico_calidad.png

 

Quién esta en línea

Hay 156 invitados y ningún miembro en línea

Síguenos en:

ico_facebook.png ico_twitter.png ico_linkedin.png ico_YT.png  
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE

Un día como hoy

22 de SETIEMBRE
IMAGE
1791 - Nace Michael Faraday padre del electromagnetismo Nace en Newington Michael Faraday (22 de septiembre de 1791 25 de agosto de 1867) físico y químico... Leer mas...