Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10356
  комментариев: 2242

Релиз http-сервера Apache 2.2.22 с устранением уязвимостей


Доступен корректирующий релиз http-сервера Apache 2.2.22 в котором устранено 6 уязвимостей и исправлено 9 ошибок. Исправленные уязвимости:
В mod_setenvif устранена уязвимость, позволяющая локальному пользователю повысить свои привилегии в системе через создание специально скомпонованного содержимого директивы SetEnvIf в файле .htaccess в сочетании с отправкой определённым образом оформленного запроса. В качестве обходного пути для защиты можно отключить разбор файлов .htaccess через директивы "AllowOverride None" или не загружать модуль mod_setenvif;
В mod_log_config устранена уязвимость, позволяющая удалённо инициировать крах управляющего процесса httpd через отправку определённым образом сформированного блока Cookies, в ситуации, если на сервере используется опция форматирования %{cookiename}C' при выводе в лог;
Устранён обходной путь совершения атаки, позволяющей при работе mod_proxy в режиме обратного прокси отправить запрос из внешней сети к внутренним серверам в демилитаризованной зоне (DMZ), при наличии определенных rewrite-правил в конфигурации сервера;
Для блокирования возможных атак, направленных на обращение к ресурсам за пределами обратного прокси, Apache теперь отвергает все запросы c URI не соответствующими спецификации HTTP;
Устранена проблема с обработкой файлов scoreboard, которую можно было использовать для инициирования краха основного управляющего процесса httpd при выполнении определённых действий со стороны непривилегированных дочерних процессов httpd;
Устранена проблема, которая может быть использована для получения значений "httpOnly" Cookies при выводе ответа с указанием ошибки, если для 400 кода ошибки не определён собственный обработчик ErrorDocument.

Из не связанных с безопасностью исправлений, можно отметить устранение приводящих к краху ошибок в mod_log_config, mod_substitute и ap_send_interim_response(). Для mod_ssl изменено значение по умолчанию: отключен SSLv2, допускается использование только шифров начиная с 128 бит. В mod_win32 устранены проблемы при обработке переменных окружения, содержащих символы UTF-8. Устранено внесённое в версии 2.2.21 регрессивное изменение, вызывающее проблемы с сортировкой хуков для модулей Perl. В примере конфигурации директивы MaxRange вместо значения "0" теперь указано "unlimited".


Источник: opennet.ru

  1 февраля 2012 521
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 7 и 17*:            


Хостеры (2444)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 16 и 5*:


Яндекс цитирования
сообщить о неточности