Leo en Slashdot que se descubrió un grave exploit para Apache. De acuerdo con la nota de ZDNet, la compañía de seguridad “Sense of Security” descubrió un serio bug en el servidor web Apache que podría permitir a un atacante remoto obtener control sobre una base de datos. Una vulnerabilidad existente en el módulo “mod_isapi” del core de Apache podría permitirle a un atacante obtener privilegios de administrador, comprometiendo seriamente la seguridad de la información.

La nota de ZDNet no da muchos detalles del bug, pero indica que comprometería especialmente a los servidores Windows. Por otra parte, el reporte de Sense of Security es más detallado e incluye una “prueba de concepto” acerca de cómo explotar el bug.

Se recomienda actualizar a la versión 2.2.15 de Apache que corrige el bug.

Directadmin ya ha hecho los cambios correspondientes, así que con Custombuild podemos actualizar rápida y fácilmente a la nueva versión siguiendo el procedimiento que explique recientemente.

BIND DNS

Sigo con algunas noticias un poco viejas, pero que creo que no podía dejar de publicar. Hace un par de días salió este post en Slashdot. Luego de que el año pasado Dan Kaminsky descubriera un bug crítico en todos los DNS que los hacía vulnerables a ataques de DNS Cache Poisoning (algo así como “envenenamiento” o “contaminación de cache de DNS”), se encuentra una nueva falla que afecta a DNSSEC que, dicho sea de paso, se suponía que era el salvador de la falla de Kaminsky. Afortunadamente, el problema no es tan grande y ya hay un parche disponible. Sin embargo, Joao Damas, manager senior de programación de ISC, indicó a Internet News que se recomienda especialmente que todas las implementaciones de BIND DNSSEC sean actualizadas por si es que están usando algún patron particular afectado (llaves DSA en algunos casos) y para evitar toparse con el problema en el futuro, cuando menos lo esperen.