Hola: Adjunto la página traducida. Un saludo, Rafa.
#use wml::debian::translation-check translation="1.2"
<define-tag description>actualización de seguridad</define-tag>
<define-tag moreinfo>
<p>Se han encontrado varias vulnerabilidades en el servidor HTTPD Apache.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15710";>CVE-2017-15710</a>
<p>Alex Nichols y Jakob Hirsch informaron de que mod_authnz_ldap podría,
si está configurado con AuthLDAPCharsetConfig y se le proporciona una cabecera
Accept-Language manipulada, provocar una escritura fuera de límites, lo que,
potencialmente, podría usarse para lanzar un ataque de denegación de servicio.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15715";>CVE-2017-15715</a>
<p>Elar Lang descubrió que la expresión especificada en <FilesMatch> podría
hacer corresponder '$' con el carácter «nueva línea» en un nombre de fichero malicioso, en lugar
de hacerlo corresponder solo con el final del nombre de fichero. Esto podría explotarse
en entornos en los que la subida de ficheros se bloquea
externamente, pero utilizando solo la parte final del nombre de los ficheros.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1283";>CVE-2018-1283</a>
<p>Cuando mod_session se configura para reenviar sus datos de sesión a aplicaciones
CGI (SessionEnv on, no el valor por omisión), un usuario remoto podría
influir en su contenido usando una cabecera <q>Session</q>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1301";>CVE-2018-1301</a>
<p>Robert Swiecki informó de que una petición manipulada de una forma determinada podría provocar
la caída del servidor HTTP Apache como consecuencia de un acceso fuera de límites después
de alcanzarse un límite de tamaño al leer la cabecera HTTP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1303";>CVE-2018-1303</a>
<p>Robert Swiecki informó de que, si se usa mod_cache_socache, una cabecera de la petición HTTP manipulada de una forma
determinada podría provocar la caída del servidor HTTP Apache
debido a una lectura fuera de límites durante la preparación de los datos
a almacenar en memoria caché compartida.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1312";>CVE-2018-1312</a>
<p>Nicolas Daniels descubrió que al generar un desafío de HTTP
Digest authentication, el valor de un solo uso («nonce») que envía mod_auth_digest para
prevenir ataques de respuesta no se generaba de forma correcta utilizando una
semilla pseudoaleatoria. En un cluster de servidores que compartan la configuración
de autenticación Digest, un atacante podría repetir respuestas HTTP
entre servidores sin que sean detectadas.</p></li>
</ul>
<p>Para la distribución «antigua estable» (jessie), estos problemas se han corregido
en la versión 2.4.10-10+deb8u12.</p>
<p>Para la distribución «estable» (stretch), estos problemas se han corregido en
la versión 2.4.25-3+deb9u4.</p>
<p>Le recomendamos que actualice los paquetes de apache2.</p>
<p>Para información detallada sobre el estado de seguridad de apache2 consulte su página
del «security tracker» en:
<a href="https://security-tracker.debian.org/tracker/apache2";>https://security-tracker.debian.org/tracker/apache2</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4164.data"
Attachment:
signature.asc
Description: PGP signature