Представлен (http://mail-archives.apache.org/mod_mbox/httpd-announce/2011...) релиз http-сервера Apache 2.2.18 в котором отмечено 23 исправления (http://www.apache.org/dist/httpd/CHANGES_2.2.18) и устранение одной уязвимости (http://secunia.com/advisories/44490/), которая может быть использована для проведения DoS-атаки на сервер.

Уязвимость вызвана ошибкой в реализации функции apr_fnmatch(), которая входит в состав библиотеки Apache APR (http://projects.apache.org/projects/portable_runtime.html) (Apache Portable Runtime), используемой модулем mod_autoindex и многими приложениями, разрабатываемыми под покровительством Apache. Передача специально оформленных запросов (http://securityreason.com/achievement_securityalert/98), сформированных с использованием в пути маски "директория/?P=*?*?*?...и так 4 Кб", приводит к возникновению рекурсивной обработки, во время которой существенно возрастает нагрузка на CPU и в конечном итоге происходит крах...

URL: http://mail-archives.apache.org/mod_mbox/httpd-announce/2011...
Новость: http://www.opennet.me/opennews/art.shtml?num=30542

• Релиз Apache 2.2.18 с устранением DoS-уязвимости в библиотек...,PereresusNeVlezaetBuggy, 00:55 , 13-Май-11
• Релиз Apache 2.2.18 с устранением DoS-уязвимости в библиотек...,Аноним, 17:57 , 13-Май-11

Уязвимость в libc датируется январём-февралём этого года. Привет апачевцам, пропустившим весь шум о ней мимо ушей.

> Дополнение: уязвимости подвержена реализация функции fnmatch из стандартных
> библиотек (libc) NetBSD, OpenBSD, FreeBSD, Mac OS X, Solaris и Android.

А как насчет пингвинов? Ну там glibc/eglibc/uclibc?