Posts etiquetados ‘apache’

fuente: securityfocus.com



Se han corregido tres nuevas vulnerabilidades en Apache Tomcat (versiones 6.0.0 a 6.0.20 y 5.5.0 a 5.5.28), que podrían permitir a un atacante evitar restricciones de seguridad, conseguir información sensible o manipular datos.

El primero de los problemas está provocado por un error de validación de entrada cuando despliega archivos WAR, que podría permitir a un atacante crear contenido arbitrario fuera de la carpeta raiz de la web mediante una escalada de directorios.

Una segunda vulnerabilidad se debe a un error cuando se despliegan archivos tras un despliegue fallido, lo que podría provocar que se desplieguen archivos arbitrarios sin restricciones de seguridad, haciéndolos accesibles sin autenticación.

Un último problema está provocado por un error de validación de entrada al desplegar y replegar archivos WAR con nombres específicamente creados, lo que podría permitir a un atacante borrar los contenidos del directorio de trabajo del host.

Se recomienda actualizar a Apache Tomcat versión 6.0.24: http://tomcat.apache.org/download-60.cgi

o aplicar las actualizaciones para Tomcat 5.x disponibles desde: http://svn.apache.org/viewvc?rev=902650&view=rev

REFERENCIAS:

Apache Tomcat 6.x vulnerabilities, http://tomcat.apache.org/security-6.html

Apache Tomcat 5.x vulnerabilities, http://tomcat.apache.org/security-5.html

fuente: hispasec.com

Nuevas variantes en vulnerabilidades que afectan al servidor Apache.

Apache APR-util ‘apr_strmatch_precompile()’ Integer Underflow Vulnerability

Apache APR-util ‘xml/apr_xml.c’ Denial of Service Vulnerability

Apache APR-util ‘apr_brigade_vprintf’ Off By One Vulnerability

 

fuente: securityfocus.com

apache

Apache HTTP Server is prone to a denial-of-service vulnerability because of faulty error handling.

Successful exploits may allow remote attackers to trigger denial-of-service conditions.

This issue affects versions prior to Apache 2.2.14 on Solaris platforms.

Published:    Oct 05 2009 12:00AM
Updated:       Oct 06 2009 12:39AM

REFERENCIA DE LA VULNERABILIDAD

fuente: securityfocus.com

apache

Apache Tomcat ‘RequestDispatcher’ Information Disclosure Vulnerability

Apache Tomcat Java AJP Connector Invalid Header Denial of Service Vulnerability

Apache Tomcat Cookie Quote Handling Remote Information Disclosure Vulnerability

Apache Tomcat Form Authentication Existing/Non-Existing Username Enumeration Weakness

Apache Tomcat XML Parser Information Disclosure Vulnerability

fuente: securityfocus.com

apache-tomcat_logo_nomatte

Dos nuevas vulnerabilidades que afectan al mod_proxy de Apache.

Published:     Sep 03 2009 12:00AM
Updated:        Sep 03 2009 09:42PM


REFERENCIA APACHE MODULE mod_proxy_ftp HOMEPAGE

fuente: securityfocus.com

apache

Apache ‘APR-util’ is prone to a vulnerability that may allow attackers to cause an affected application to consume memory, resulting in a denial-of-service condition.

Versions prior to ‘APR-util’ 1.3.7 are vulnerable.

Published:       Jun 06 2009 12:00AM
Updated:            Jul 06 2009 08:29AM

REFERENCIA DE LA VULNERABILIDAD

REFERENCIA DEL FABRICANTE

fuente: securityfocus.com

apache-tomcat_logo_nomatte