Apache Software Foundation ha lanzado la versión 2.4.64 del servidor Apache HTTP, abordando ocho vulnerabilidades críticas de seguridad que afectaron las versiones que abarcan desde 2.4.0 a 2.4.63.
Esta última actualización resuelve una variedad de problemas, incluida la división de respuesta HTTP, la falsificación de solicitudes del lado del servidor (SSRF) y las vulnerabilidades de denegación de servicios que podrían comprometer la seguridad y el rendimiento del servidor.
Control de llave
1. Apache HTTP Server 2.4.64 corrige ocho vulnerabilidades en todas las versiones 2.4.x, incluida la división de respuesta HTTP y fallas SSRF.
2. Patches SSL/TLS Resuelve el bypass de control de acceso, el secuestro de actualización de TLS y los problemas de inyección de registro.
3.
4. HTTP/2 DOS Vulnerabilidades en configuraciones proxy y agotamiento de la memoria requieren una actualización inmediata.
Respuesta HTTP y fallas de seguridad SSL/TLS
La vulnerabilidad más significativa parcheada en esta versión es CVE-2024-42516, una vulnerabilidad de división de respuesta HTTP moderada en el núcleo del servidor Apache HTTP.
Este defecto permite a los atacantes que pueden manipular los encabezados de respuesta de tipo de contenido de aplicaciones alojadas o proxias para dividir las respuestas HTTP.
En particular, esta vulnerabilidad se identificó previamente como CVE-2023-38709, pero el parche incluido en Apache HTTP Server 2.4.59 no pudo abordar adecuadamente el problema.
Se han resuelto dos vulnerabilidades adicionales relacionadas con SSL/TLS. CVE-2025-23048 representa un bypass de control de acceso de severidad moderada que afecta las configuraciones Mod_SSL en las versiones del servidor HTTP de Apache 2.4.35 a 2.4.63.
Esta vulnerabilidad permite a los clientes confiables para evitar controles de acceso utilizando la reanudación de sesión TLS 1.3 en entornos de host múltiples virtuales con diferentes configuraciones de certificados de clientes de confianza.
El segundo problema de SSL, CVE-2025-49812, afecta las configuraciones utilizando “SSLEngine Opcional” para habilitar las actualizaciones de TLS, permitiendo a los atacantes de Man-in-the-Middle secuestrar sesiones HTTP a través de ataques de actualización de TLS.
Otra preocupación de seguridad abordada es CVE-2024-47252, que implica un escape insuficiente de datos proporcionados por el usuario en MOD_SSL.
Esta vulnerabilidad de baja severidad permite a los clientes SSL/TLS no confiables insertar caracteres de escape en archivos de registro cuando las configuraciones de CustomLog usan “%{varname} x” o “%{varname} c” para registrar variables mod_SSL como ssl_tls_sni.
Fallas de falsificación de solicitud del lado del servidor
Apache HTTP Server 2.4.64 resuelve dos vulnerabilidades SSRF distintas que podrían permitir a los atacantes manipular las solicitudes del servidor. CVE-2024-43204 afecta las configuraciones con mod_proxy cargado y mod_headers configurados para modificar los encabezados de tipo de contenido utilizando valores de solicitud HTTP.
Esta vulnerabilidad de baja severidad permite a los atacantes enviar solicitudes de proxy salientes a las URL controladas por los atacantes, aunque requiere un escenario de configuración poco probable.
La segunda vulnerabilidad SSRF, CVE-2024-43394, se dirige específicamente a las instalaciones de Windows del servidor Apache HTTP.
Esta falla de severidad moderada permite una posible fuga de hash NTLM a servidores maliciosos a través de expresiones mod_rewrite o apache que procesan la entrada de solicitud no validada a través de rutas UNC.
El proyecto del servidor Apache HTTP tiene planes anunciados para implementar estándares más estrictos para aceptar futuros informes de vulnerabilidad SSRF con respecto a las rutas UNC.
Negación de servicios y problemas de rendimiento
CVE-2025-49630 afecta las configuraciones de proxy inversas para los retroceder HTTP/2 con ProxyPreserveHost habilitado, lo que permite a los clientes no confiables activar las afirmaciones en MOD_PROXY_HTTP2 y causar interrupción del servicio.
CVE-2025-53020 representa una vulnerabilidad de denegación de servicio relacionada con la memoria en las implementaciones HTTP/2 que afectan las versiones del servidor HTTP de Apache 2.4.17 a 2.4.63.
Este problema de severidad moderada implica la liberación tardía de la memoria después de una vida efectiva, lo que puede conducir a ataques de agotamiento de la memoria.
CVEDESCRITIONSEVERITYCVE-2024-42516HTTP División de respuesta ModerateCve-2024-43204SSRF con mod_headers configurando el encabezado de tipo de contenido LowCVE-2024-43394SSRF en Windows debido a las rutas UNC moderateCVE-2024-47252 Instituibles ESPERACIONES ESPERAPEPTURA DEL USUARIO SUSPLEPLETS IN IN LowCVE-2025-23048MOD_SSL Bypass de control de acceso con reanudación de sesión ModerateCVE-2025-49630MOD_PROXY_HTTP2 Ataque de denegación de servicio Ataque LowCVE-2025-49812Mod_SSL TLS Actualización Ataque que permite el cambio de sesión de la sesión de HTTP a través de los ataques de hombre en el hombre en los ataques-middle ModerateCve-2025-53020http/2 Dos por memoria Aumento moderado
Los investigadores de seguridad de múltiples instituciones, incluidas la Universidad de Paderborn y la Universidad de Ruhr, Bochum, así como varias firmas de seguridad, contribuyeron a identificar estas vulnerabilidades.
Apache Software Foundation recomienda encarecidamente una actualización inmediata a la versión 2.4.64 para todos los usuarios que ejecutan versiones afectadas.
Los administradores del sistema deben priorizar esta actualización, particularmente para entornos de producción que manejan datos confidenciales u operan en contextos de alta seguridad, donde estas vulnerabilidades podrían ser explotadas.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
