La Apache Software Foundation lanzó Apache HTTP Server versión 2.4.68 el 8 de junio de 2026, corrigiendo 13 vulnerabilidades de seguridad que afectan a múltiples módulos.
Los fallos parcheados incluyen condiciones de uso posterior a la liberación (use-after-free), cross-site scripting, desbordamientos de búfer basados en el montón (heap), denegación de servicio, escalada de privilegios y problemas de lectura fuera de límites que afectan a todas las versiones desde la 2.4.0 hasta la 2.4.67.
Se recomienda encarecidamente a los administradores que utilicen cualquier versión anterior que actualicen inmediatamente.
Apache HTTP Server 2.4.68
Fallos de Uso Posterior a la Liberación (UAF)
En esta versión se han parcheado dos vulnerabilidades de uso posterior a la liberación. La CVE-2026-29167 afecta a mod_ldap en configuraciones por directorio, donde se puede activar un puntero colgante en las versiones 2.4.0–2.4.67, descubierta por Pavel Kohout de Aisle Research.
La segunda, CVE-2026-48913, impacta al módulo mod_http2 cuando los manejadores de archivos ya están agotados —afectando al rango más estrecho de 2.4.55–2.4.67— y fue reportada por Sam Lovejoy de IBM X-Force Offensive Research (XOR).
Cross-Site Scripting (XSS)
La CVE-2026-29170 describe un fallo de XSS en la generación de listados de directorios HTML de mod_proxy_ftp. Cuando Apache actúa como proxy de contenidos de directorios FTP —ya sea mediante proxy directo o inverso— una salida no saneada puede permitir la inyección de scripts. Este problema de severidad baja afecta a todas las versiones hasta la 2.4.67 y también fue descubierto por Pavel Kohout de Aisle Research.
Desbordamiento de Búfer y Corrupción de Memoria
Se remediaron cuatro vulnerabilidades de desbordamiento de búfer:
- CVE-2026-34355 (moderada) — Un desbordamiento de búfer en
mod_proxy_htmlexplotable por un servidor backend no confiable, encontrado por Elhanan Haenel y Junhui Lee - CVE-2026-34356 (baja) — Un desbordamiento basado en el montón en
ProxyPassReverseCookieMapactivado a través de servidores backend maliciosos, descubierto por Arkadi Vainbrand y depthfirst - CVE-2026-42536 (baja) — Un desbordamiento de montón en
mod_xml2enca través dexml2StartParsecon contenido no confiable, reportado por Zhenpeng (Leo) Lin de depthfirst - CVE-2026-44631 (baja) — Una escritura inferior en el montón en
ap_regnamecausada por un desbordamiento de carácter con signo en configuraciones de regex manipuladas, encontrada por Lin y Bartlomiej Dmitruk
Denegación de Servicio
Se corrigieron dos vulnerabilidades de DoS. La CVE-2026-49975 (moderada) permite el agotamiento de la asignación de memoria en mod_http2 mediante solicitudes HTTP/2 maliciosas, afectando a las versiones 2.4.17–2.4.67, descubierta por Quang Luong de Calif.IO en colaboración con OpenAI Codex. La CVE-2026-44186 (moderada) provoca un bucle infinito en el manejador de mod_proxy_ftp a través de un servidor FTP backend controlado por un atacante.
Otros Arreglos Notables
- CVE-2026-43951 (moderada) — Una lectura fuera de límites en
merge_response_headerscuandomod_headersymod_mimemanejan múltiples idiomas de respuesta, causando caídas del proceso hijo - CVE-2026-42535 (moderada) — Un fallo en el manejo de rutas en
mod_dav_fsque permite a los autores de WebDAV manipular bases de datos de propiedades DAV confiables - CVE-2026-44185 (baja) — Una sobre-lectura del búfer de pila en
send_requestde OCSP demod_ssla través de servidores OCSP controlados por atacantes - CVE-2026-44119 (moderada) — Un fallo de escalada de privilegios que permite a los autores locales de
.htaccessleer archivos con privilegios de usuariohttpd, reportado por 10 investigadores independientes
| CVE | Módulo | Severidad | Tipo |
|---|---|---|---|
| CVE-2026-29167 | mod_ldap | Baja | Use-After-Free |
| CVE-2026-29170 | mod_proxy_ftp | Baja | XSS |
| CVE-2026-34355 | mod_proxy_html | Moderada | Desbordamiento de Búfer |
| CVE-2026-34356 | ProxyPassReverseCookieMap | Baja | Desbordamiento de Montón |
| CVE-2026-42535 | mod_dav_fs | Moderada | Manejo de Rutas |
| CVE-2026-42536 | mod_xml2enc | Baja | Desbordamiento de Montón |
| CVE-2026-43951 | mod_headers/mod_mime | Moderada | Lectura OOB |
| CVE-2026-44119 | expresiones .htaccess | Moderada | Escalada de Privilegios |
| CVE-2026-44185 | mod_ssl OCSP | Baja | Sobre-lectura de Búfer |
| CVE-2026-44186 | mod_proxy_ftp | Moderada | DoS (Bucle Infinito) |
| CVE-2026-44631 | ap_regname | Baja | Escritura Inferior de Montón |
| CVE-2026-48913 | mod_http2 | Baja | Use-After-Free |
| CVE-2026-49975 | mod_http2 | Moderada | DoS |
La Apache Software Foundation recomienda que todos los usuarios actualicen a Apache HTTP Server 2.4.68 inmediatamente. No existen soluciones alternativas para la mayoría de estas vulnerabilidades. La versión actualizada está disponible a través de la página oficial de descargas de Apache.
Fuentes:
https://cybersecuritynews.com/apache-http-server-2-4-68/
No hay comentarios:
Publicar un comentario