Actualización urgente para Apache HTTP Server
La Fundación Apache publicó la versión 2.4.68 de su servidor HTTP, que corrige 13 vulnerabilidades distribuidas en varios módulos. Estas fallas afectan todas las versiones desde la 2.4.0 hasta la 2.4.67, por lo que es fundamental actualizar cuanto antes.
Principales vulnerabilidades corregidas
Entre los problemas solucionados se encuentran dos vulnerabilidades de uso después de liberar memoria (use-after-free) en los módulos mod_ldap y mod_http2. También se corrigió una falla de Cross-Site Scripting (XSS) en mod_proxy_ftp, que podía permitir la inyección de scripts a través de listados HTML sin sanitizar.
Además, se repararon cuatro vulnerabilidades de desbordes de buffer y corrupción de memoria en módulos como mod_proxy_html, ProxyPassReverseCookieMap, mod_xml2enc y ap_regname. Estas fallas podrían ser explotadas por servidores backend maliciosos o mediante configuraciones específicas.
También se corrigieron dos vulnerabilidades de denegación de servicio (DoS): una relacionada con agotamiento de memoria en mod_http2 y otra que causaba un bucle infinito en mod_proxy_ftp.
Otros ajustes relevantes
Entre las correcciones adicionales se incluyen problemas de lectura fuera de límites, manejo de rutas inseguras en WebDAV, vulnerabilidades en OCSP dentro de mod_ssl y una falla que permitía la escalación de privilegios a través de archivos .htaccess.
Recomendación para empresas
Si tu infraestructura utiliza Apache HTTP Server, no pospongas la actualización a la versión 2.4.68. La mayoría de estas vulnerabilidades no cuentan con soluciones alternativas y pueden comprometer la estabilidad y seguridad del servicio. Mantener el servidor actualizado es una medida clave para reducir riesgos y evitar interrupciones.
