martes, 3 de octubre de 2017

OptionsBleed, el hermano pequeño de HeartBleed (¡Actualizad!)

Servidor web

     Muchos conoceréis HeartBleed, una de las mayores vulnerabilidades habidas en Internet, descubierta en OpenSSL a principios de 2014 y que, aún a día de hoy, muchos servidores siguen siendo vulnerables.

Ahora, en 2017, aparece una nueva vulnerabilidad que se extiende a lo ancho de los servidores web Apache: OptionsBleed.

Ahora viene una breve explicación técnica de cómo funcionan las conexiones HTTP de un servidor web:

Las conexiones HTTP pueden hacer llamadas a varios métodos (los más usados son GET y POST), pudiendo recurrir al método OPTIONS para ver una lista completa con los métodos que tenemos disponibles y podemos utilizar.

Al enviar una solicitud del tipo OPTIONS a servidores web con un gran tráfico, la respuesta devuelve un parámetro "ALLOW" y una opción repetida, "HEAD". Esto puede ser debido a un desbordamiento de búfer, igual a como ocurría con OpenSSL y que se bautizó como HeartBleed.

Por suerte, esta vulnerabilidad afecta a un número significativamente inferior a la de su hermana mayor, HeartBleed.

Desde Intec os recomendamos que si utilizáis Apache 2.2, os descarguéis el siguiente parche temporal hasta que salga la actualización oficial. Contactad con vuestro departamento técnico para darles aviso de lo ocurrido, en caso de que no estén informados todavía.

No hay comentarios:

Publicar un comentario