E' stato rilasciato un aggiornamento di sicurezza per il server
Apache HTTP per risolvere due vulnerabilita' di tipo
"HTML-injection" e "information disclosure".
Le vulnerabilita' riguardano i moduli "mod_proxy_http",
"mod_proxy_ajp" e "mod_negotiation" e possono essere sfruttate da
un attaccante remoto per ottenere informazioni sensibili su altri
utenti e condurre attacchi di tipo Cross Site Scripting.
:: Software interessato
Apache HTTP Server versioni 2.4.2 e 2.4.1
:: Impatto
Attachi di tipo Cross Site Scripting
Rilascio di informazioni sensibili
:: Soluzioni
Aggiornare all'ultima versione disponibile:
http://httpd.apache.org/download.cgi#apache24
:: Riferimenti
Apache HTTP Server Project
http://httpd.apache.org/security/vulnerabilities_24.html
http://www.apache.org/dist/httpd/CHANGES_2.4.3
Alert di GARR-CERT Usata per la segnalazione di allarmi di sicurezza e comunicazioni di interesse generale diretti agli enti GARR. L'iscrizione è aperta e consigliata a tutti, il posting è riservato ai membri di GARR-CERT