Apache actualiza sus servidores HTTP

20 Oct 2005 en Servidores

ASF (Apache Software Foundation) acaba de liberar dos nuevas versiones de servidores HTTP. Se trata de Apache HTTP Server 1.3.34 y Apache HTTP Server 2.0.55. Estos dos releases presentan fundamentales mejoras en cuanto a seguridad y corrección de bugs.
Apache 1.3.34 atiende a dos problemas de seguridad. Se agrega un TraceEnable por directiva de servidor y se han realizado un cambio al código para quitar los encabezados Content-Lenght cuando un requerimiento incluye encabezados Transfer-Encoding y Content-Lenght que potencialmente pueden llevar a un ataque HTTP Request Splitting/Spoofing.
Apache 2.0.55 atiende a seis problemas de seguridad, tres de los cuales están relacionados con ataques HTTP Request y Response Splitting/Spoofing.
Otras correcciones solucionan problemas de overflows con números enteros (CAN-2005-2491). También atiende a CAN-2005-2728, donde el filtro de rango de bytes podría acumular respuestas en memoria; y a CAN-2005-1268, una falla en mod_ssl que podría disparar una condición de overflow.
Apache tiene más de 52 millones de instalaciones y un 70% de participación en el mercado de servidores Web. Es el producto más exitoso proyecto open source hasta hoy.