Actualización de seguridad en Apache HTTP Server

Apache Software Foundation y Apache HTTP Server Project han anunciado la disponibilidad de Apache HTTP Server 2.4.4. La actualización corrige varios errores, pero también algunas vulnerabilidades de cross-site scripting (XSS). El primer conjunto de problemas se refiere a varias vulnerabilidades XSS (CVE-2012-3499) causadas por “hostnames sin escape y salidas HTML de URIs en mod_info, mod_status, mod_imagemap, mod_ldap y mod_proxy_ftp“. Estos problemas fueron reportados en julio de 2012.

Otro defecto XSS (CVE-2012-4558), identificado en octubre de 2012, afecta a la interfaz de administrador de mod_proxy_balancer.

Todos estos fallos de seguridad fueron reportados a Apache por Niels Heinen de Google.

Los defectos afectan a Apache HTTP Server 2.4.3, 2.4.1 y 2.4.2. Se recomienda que los usuarios actualicen sus instalaciones lo antes posible.