Apache ha corregido un fallo de seguridad que podría permitir a un atacante ejecutar comandos si los inyecta previamente en los logs (lo que se consigue simplemente realizando peticiones HTTP especialmente manipuladas).
El fallo se encuentra en el módulo mod_rewrite del servidor web Apache, que no filtra ciertos caracteres y por tanto podría permitir la ejecución de código arbitrario de forma remota si un atacante deja comandos en los logs y luego son interpretados en consola.
mod_rewrite es un módulo del servidor web Apache que permite reescribir las URL solicitadas sobre la marcha basándose en reglas. Dichas reglas de reescritura pueden ser invocadas desde los ficheros 'httpd.conf' de forma global o '.htaccess' en cada directorio. mod_rewrite es ampliamente utilizado para crear direcciones URL alternativas para las páginas dinámicas de forma que resulten más legibles, fáciles de recordar por los usuarios, y también mejor indexadas por los motores de búsqueda o buscadores.
Joe Orton ha descubierto que la función 'do_rewritelog', localizada en el fichero 'modules/mappers/mod_rewrite.c', no filtra adecuadamente los caracteres no imprimibles cuando escribe los datos en el archivo de registro (logs). Si se usa la directiva RewriteLog, un atacante remoto podría aprovechar este fallo para ejecutar comandos arbitrarios a través de peticiones HTTP especialmente manipuladas. Por ejemplo, que contengan una secuencia de escape para un terminal si los archivos de logs son mostrados.
http://2.bp.blogspot.com/-AxmLebLi6VA/UadKNsegeFI/AAAAAAAACko/NK7hWboymyk/s1600/Apache_vuln_mod_rewrite.png
La vulnerabilidad, identificada como CVE-2013-1862, afecta a la versión del servidor Apache 2.2.24, aunque también podrían estar comprometidas versiones anteriores. En la versión 2.2.25 ha sido corregida.
Más información:
APACHE 2.2 STATUS http://svn.apache.org/viewvc/httpd/httpd/branches/2.2.x/STATUS?view=markup&pathrev=1469311
mod_rewrite-CVE-2013-1862.patch http://people.apache.org/~jorton/mod_rewrite-CVE-2013-1862.patch
http://www.laflecha.net/canales/seguridad/noticias/ejecucion-de-comandos-en-apache-web-server