Parche urgente de Oracle para Apache – CVE-2011-3192

Todos los webmasters, especialmente los administradores de sistemas y los equipos de desarrollo corporativos deben prestar atención al paquete de actualizaciones críticas (CPU) de Oracle de hoy, que afecta a Oracle Fusion Middleware, Oracle Application Server, y Oracle Enterprise Manager. Este paquete suele instalarse en la compañía. Los administradores deben tener en cuenta que, hasta donde se sabe, CVE-2011-3192 puede dar lugar a ataques DoS: “El filtro de rango de bytes en el servidor Apache HTTP 1.3.x, 2.0x a 2.0.64, y 2.2x a 2.2.19 da lugar a ataques que ocasionan una denegación de servicio (consumo de memoria y de CPU) a través de un tope de rango que expresa múltiples superposiciones de rangos, como se evidenció en agosto de 2011 con una vulnerabilidad diferente a la CVE-2007-0086″.

Este es un tema muy urgente. “Debido a la amenaza que representa un ataque exitoso. Oracle recomienda enfáticamente a sus clientes que apliquen las reparaciones de Security Alert tan pronto como sea posible”. Por lo general, esto no merecería tanta atención, pero la falla existe desde hace tiempo y se la explotó a fines del verano. Resulta sorprendente ver que a mediados de agosto públicamente se explotara e informara de una falla Apache, que fue reparada por el grupo Apache a mediados de agosto, y que Oracle publique el parche solo a mediados de septiembre. También es llamativo que este problema sea parcialmente ocasionado por una falla de diseño del protocolo que data de 2007. El ingeniero de seguridad de Google, Mike Zalewsky, escribe ahora en Bugtraq sobre el cliché de la vulnerabilidad Apache/IIS DoS en referencia a ese problema.

A los clientes se les proporciona un vínculo a “My Oracle Support Note 1357871.1″ en el que “se pueden encontrar parches e información relevantes para protegerse contra esta vulnerabilidad…” Al mismo tiempo, el servidor de aplicaciones Weblogic para esa URL responde esta vez con un error en Apache: “Falla del conector en el servidor APACHE: No hay ningún servidor backend disponible…” Sin embargo, conociendo el impacto mediático que han logrado los hackers por sus ataques contra sitios, y que hay sencillos scripts perl a disposición pública que atacan esta vulnerabilidad, los administradores de sistemas tienen la urgente tarea de continuar con las reparaciones.