Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10385
  комментариев: 3200

Релиз Apache 2.2.18 с устранением DoS-уязвимости в библиотеке APR (libc тоже подвержена проблеме)


Представлен релиз http-сервера Apache 2.2.18 в котором отмечено 23 исправления и устранение одной уязвимости, которая может быть использована для проведения DoS-атаки на сервер.

Уязвимость вызвана ошибкой в реализации функции apr_fnmatch(), которая входит в состав библиотеки Apache APR (Apache Portable Runtime), используемой модулем mod_autoindex и многими приложениями, разрабатываемыми под покровительством Apache. Передача специально оформленных запросов, сформированных с использованием в пути маски "директория/?P=*?*?*?...и так 4 Кб", приводит к возникновению рекурсивной обработки, во время которой существенно возрастает нагрузка на CPU и в конечном итоге происходит крах из-за переполнения стека.

HTTP-сервер Apache 2.2.18 поставляется с обновленной библиотекой APR 1.4.4, в которой данная уязвимость исправлена. Всем, кто по каким-либо причинам не может обновить библиотеку APR до новой версии, рекомендуется включить опцию IgnoreClient внутри директивы IndexOptions.

Кроме устранения уязвимости в новой версии отмечены исправления ошибок в модулях: mod_proxy, mod_autoindex, mod_cache, mod_dav, mod_win32, mod_ssl, mod_userdir и mod_mem_cache. В утилите htpasswd изменен используемый по умолчанию алгоритм хэширования: с функции crypt() на MD5. Устранены проблемы при сборке с использованием MinGW. В директиву AllowEncodedSlashes добавлена поддержка опции NoDecode, указывающая на то, что не нужно декодировать закодированные в URL слеши. В mod_rewrite добавлена возможность удаления переменных окружения. Добавлена директива Suexec для отключения механизма suEXEC без переименования бинарного файла (в конфигурации достаточно указать Suexec Off).

Дополнение: уязвимости подвержена реализация функции fnmatch из стандартных библиотек (libc) NetBSD, OpenBSD, FreeBSD, Mac OS X, Solaris и Android.


Источник: opennet.ru

  13 мая 2011 734
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 8 и 16*:            


Хостеры (2472)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 15 и 6*:


Яндекс цитирования
сообщить о неточности