|
|
| Noticias |
Precaución: fallo en Apache puede ocasionar robos de sesión
[29-12-03]
Se trata de un fallo en el tratamiento de descriptores de fichero del módulo mod_php de Apache.
Dicho fallo permite a usuarios locales del servidor robar la sesión (hijacking) en el servicio https.
Las versiones afectadas son por este problema o fallo son 4.2.x y 4.3.x de mod_php y la 2.0.x de Apache.
Concretamente se produce cuando se hace una llamada a un programa externo al que se le pasan los descriptores de fichero, entre los que se encuentra el descriptor de fichero del puerto https abierto. De este modo se permite a cualquier usuario local, con permiso para subir ejecutables, robar dichas sesiones. Si la llamada se realizara con el flag CLOEXEC, que evita pasar descriptores privilegiados, se evitaría el fallo.
Aun no ha salido ningún parche oficial, pero se preveé que los usuarios puedan disponer pronto de él.
Fuente: www.datasecuritycenter.com
Noticias actuales...
Archivo de noticias...
|
|
|
| |
|
|
Gratis Servicio de noticias
|
|
|
Tus Sugerencias son bienvenidas
Pincha Aquí |
¡¡Lista de correo!!
Introduzca su correo:
|
|
