Hola: Sin cambios desde el RFR.
Un saludo, Rafa.
#use wml::debian::translation-check translation="1.2" <define-tag description>actualización de seguridad</define-tag> <define-tag moreinfo> <p>Se han encontrado varias vulnerabilidades en el servidor HTTPD Apache.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15710">CVE-2017-15710</a> <p>Alex Nichols y Jakob Hirsch informaron de que mod_authnz_ldap podría, si está configurado con AuthLDAPCharsetConfig y se le proporciona una cabecera Accept-Language manipulada, provocar una escritura fuera de límites, lo que, potencialmente, podría usarse para lanzar un ataque de denegación de servicio.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15715">CVE-2017-15715</a> <p>Elar Lang descubrió que la expresión especificada en <FilesMatch> podría hacer corresponder '$' con el carácter «nueva línea» en un nombre de fichero malicioso, en lugar de hacerlo corresponder solo con el final del nombre de fichero. Esto podría explotarse en entornos en los que la subida de ficheros se bloquea externamente, pero utilizando solo la parte final del nombre de los ficheros.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1283">CVE-2018-1283</a> <p>Cuando mod_session se configura para reenviar sus datos de sesión a aplicaciones CGI (SessionEnv on, no el valor por omisión), un usuario remoto podría influir en su contenido usando una cabecera <q>Session</q>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1301">CVE-2018-1301</a> <p>Robert Swiecki informó de que una petición manipulada de una forma determinada podría provocar la caída del servidor HTTP Apache como consecuencia de un acceso fuera de límites después de alcanzarse un límite de tamaño al leer la cabecera HTTP.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1303">CVE-2018-1303</a> <p>Robert Swiecki informó de que, si se usa mod_cache_socache, una cabecera de la petición HTTP manipulada de una forma determinada podría provocar la caída del servidor HTTP Apache debido a una lectura fuera de límites durante la preparación de los datos a almacenar en memoria caché compartida.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1312">CVE-2018-1312</a> <p>Nicolas Daniels descubrió que al generar un desafío de HTTP Digest authentication, el valor de un solo uso («nonce») que envía mod_auth_digest para prevenir ataques de respuesta no se generaba de forma correcta utilizando una semilla pseudoaleatoria. En un cluster de servidores que compartan la configuración de autenticación Digest, un atacante podría repetir respuestas HTTP entre servidores sin que sean detectadas.</p></li> </ul> <p>Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 2.4.10-10+deb8u12.</p> <p>Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 2.4.25-3+deb9u4.</p> <p>Le recomendamos que actualice los paquetes de apache2.</p> <p>Para información detallada sobre el estado de seguridad de apache2 consulte su página del «security tracker» en: <a href="https://security-tracker.debian.org/tracker/apache2">https://security-tracker.debian.org/tracker/apache2</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2018/dsa-4164.data"
signature.asc
Description: PGP signature