Pojawiła się nowa wersja Apache nosząca numerek 2.0.51 zawierająca najnowsze poprawki do odkrytych błędów z dnia wczorajszego, które pozwalają wywołać kod po stronie serwera co pozwala na jego przejęcie.
Pierwszy z krytycznych błędów dotyczy biblioteki apr-util, w której funkcja apr_uri_parse błędnie sprawdza wprowadzany adres IPv6 co jednoznacznie pozwala na nadpisanie pamięci przez dowolnie wprowadzony kod.
Drugi z błędów natomiast występuje podczas przepełnienia wartość zmiennej ${ENVVAR} w pliku .htaccess bądź httpd.conf - wtedy to funkcja ap_resolve_env() kopiuje dane ze zmiennej do tablicy tmp co powoduje przepełnienie bufora. W przypadku wykorzystania tego błędu serwer odnotowuje informacje w logach systemowych w postaci Segmentation faults.
Ponadto poprawiono błędy w mod_ssl oraz mod_dav_fs.
Na atak podatne są wszystkie wersje Apache 2.0.x - w przypadku wersji 1.3.x błędów tych nie stwierdzono. Osoby korzystające z serwera Apache do wersji 2.0.50 włącznie, powinni pobrać jak najszybciej wersję 2.0.51.
Błędy w serwerze Apache 2.0.x
Zabezpieczenia |
Czw, 16 Wrze 2004 10:03:07 +0200 |
Autor:
Redakcja
| Czytań: 3800
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.