[HACK] Problema de seguridad en Apache. ¿Todos vulnerables?

Sergio de los Santos s.delossantos at forzis.com
Fri Apr 4 02:48:30 CEST 2003 

Problema de seguridad en Apache. ¿Todos vulnerables?

SERGIO DE LOS SANTOS
www.forzis.com

Parece que los servidores web más usados en Internet, (IIS, producto de 
pago de Microsoft y Apache, gratuito y de código abierto) se han puesto de 
acuerdo en estos días para ser peligrosamente vulnerables a cierto tipo de 
ataques. Tras el problema WebDAV con IIS, Apache Software Fundation acaba 
de avisar de un grave problema de seguridad. Lo curioso es que no es la 
primera vez que las vulnerabilidades coinciden en el tiempo, y esto supone 
un grave riesgo para todos.

Un aviso de la Fundación Apache ha lanzado la voz de alarma sobre un grave 
riesgo de denegación de servicio en las versiones que van de la 2.0 a la 
2.0.44 de su servidor web. Los detalles de la vulnerabilidad no se 
conocerán hasta el ocho de Abril, pero el grupo ha querido advertir a los 
usuarios antes de que se hagan públicos estos detalles y los chicos malos 
comiencen a trabajar para sacar provecho de ello. Apache insta a todos los 
usuarios a que descarguen e instalen su nueva versión que, además corrige 
otros problemas menores.

Este comportamiento les viene a redimir ante una embarazosa situación que 
sufrió la Fundación el pasado mes de Junio de 2002, cuando los detalles de 
su peor problema de seguridad conocido hasta la fecha fueron públicos antes 
de que ellos mismos tuvieran la solución y pusieran a disposición de los 
usuarios el parche adecuado. Por aquella época, Microsoft no se quedaba 
atrás, y también se descubría un desbordamiento de búfer en su servidor 
web.

El aviso de este problema en Apache viene a coincidir con el estudio 
publicado por netcraft sobre el impacto de la última vulnerabilidad del 
servidor web de Microsoft IIS. En él se afirma que tres cuartos de los 
sitios web que operan con este Software (IIS 5.0) lo hacen con el protocolo 
WebDAV habilitado y por lo tanto son vulnerables al fallo. El estudio se 
basa en casi 800.000 direcciones que trabajan con IIS 5.0. En el caso de 
esta vulnerabilidad, los detalles para explotarla sí que se hicieron 
públicos antes de que la empresa de Bill Gates programara la solución en 
forma de parche.

Netcraft realiza sus estudios mensuales preguntando sistemáticamente a 
diferentes direcciones en Internet sobre el programa que usan para servir 
páginas web. Así, Netcraft supone el mayor repositorio de información sobre 
estadísticas de servidores web. En la encuesta de Marzo se basó en las 
respuestas de casi cuarenta millones de servidores, en la que se refleja la 
posición dominante de Apache con un 63% del mercado.

Enlaces relacionados:

Aviso de la Fundación Apache:
http://www.apache.org/dist/httpd/Announcement2.html

Nueva versión de Apache 2.0.45:
http://httpd.apache.org/download.cgi

Problema de seguridad en Apache en Junio de 2002:
http://httpd.apache.org/info/security_bulletin_20020620.txt

Problema de seguridad en IIS de Microsoft en Junio de 2002:
http://microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02- 
028.asp

Último problema de seguridad de Microsoft ISS:
http://www.forzis.com/news/noticias.php?cod_noticia=34

Estudio de Netcraft:
http://www.netcraft.com/survey

-- 
Sergio de los Santos.
Redactor de Contenidos.
s.delossantos at forzis.com
http://www.forzis.com
 

More information about the hacking mailing list