The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз Apache 2.2.18 с устранением DoS-уязвимости в библиотеке APR (libc тоже подвержена проблеме)

12.05.2011 17:19

Представлен релиз http-сервера Apache 2.2.18 в котором отмечено 23 исправления и устранение одной уязвимости, которая может быть использована для проведения DoS-атаки на сервер.

Уязвимость вызвана ошибкой в реализации функции apr_fnmatch(), которая входит в состав библиотеки Apache APR (Apache Portable Runtime), используемой модулем mod_autoindex и многими приложениями, разрабатываемыми под покровительством Apache. Передача специально оформленных запросов, сформированных с использованием в пути маски "директория/?P=*?*?*?...и так 4 Кб", приводит к возникновению рекурсивной обработки, во время которой существенно возрастает нагрузка на CPU и в конечном итоге происходит крах из-за переполнения стека.

HTTP-сервер Apache 2.2.18 поставляется с обновленной библиотекой APR 1.4.4, в которой данная уязвимость исправлена. Всем, кто по каким-либо причинам не может обновить библиотеку APR до новой версии, рекомендуется включить опцию IgnoreClient внутри директивы IndexOptions.

Кроме устранения уязвимости в новой версии отмечены исправления ошибок в модулях: mod_proxy, mod_autoindex, mod_cache, mod_dav, mod_win32, mod_ssl, mod_userdir и mod_mem_cache. В утилите htpasswd изменен используемый по умолчанию алгоритм хэширования: с функции crypt() на MD5. Устранены проблемы при сборке с использованием MinGW. В директиву AllowEncodedSlashes добавлена поддержка опции NoDecode, указывающая на то, что не нужно декодировать закодированные в URL слеши. В mod_rewrite добавлена возможность удаления переменных окружения. Добавлена директива Suexec для отключения механизма suEXEC без переименования бинарного файла (в конфигурации достаточно указать Suexec Off).

Дополнение: уязвимости подвержена реализация функции fnmatch из стандартных библиотек (libc) NetBSD, OpenBSD, FreeBSD, Mac OS X, Solaris и Android.

  1. Главная ссылка к новости (http://mail-archives.apache.or...)
  2. OpenNews: Выход Apache 2.3.11 ознаменовал переход ветки 2.3 на стадию бета-тестирования
  3. OpenNews: Вышел корректирующий релиз http-сервера Apache 2.2.16
  4. OpenNews: Вышел корректирующий релиз http-сервера Apache 2.2.17
Автор новости: Evgeny Zobnin
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/30542-apache
Ключевые слова: apache, security, dos
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (2) RSS
  • 1, PereresusNeVlezaetBuggy (ok), 00:55, 13/05/2011 [ответить]  
  • +/
    Уязвимость в libc датируется январём-февралём этого года. Привет апачевцам, пропустившим весь шум о ней мимо ушей.
     
  • 2, Аноним (-), 17:57, 13/05/2011 [ответить]  
  • +/
    > Дополнение: уязвимости подвержена реализация функции fnmatch из стандартных
    > библиотек (libc) NetBSD, OpenBSD, FreeBSD, Mac OS X, Solaris и Android.

    А как насчет пингвинов? Ну там glibc/eglibc/uclibc?

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру