The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз http-сервера Apache 2.2.22 с устранением уязвимостей

31.01.2012 11:58

Доступен корректирующий релиз http-сервера Apache 2.2.22 в котором устранено 6 уязвимостей и исправлено 9 ошибок. Исправленные уязвимости:

  • В mod_setenvif устранена уязвимость, позволяющая локальному пользователю повысить свои привилегии в системе через создание специально скомпонованного содержимого директивы SetEnvIf в файле .htaccess в сочетании с отправкой определённым образом оформленного запроса. В качестве обходного пути для защиты можно отключить разбор файлов .htaccess через директивы "AllowOverride None" или не загружать модуль mod_setenvif;
  • В mod_log_config устранена уязвимость, позволяющая удалённо инициировать крах управляющего процесса httpd через отправку определённым образом сформированного блока Cookies, в ситуации, если на сервере используется опция форматирования %{cookiename}C' при выводе в лог;
  • Устранён обходной путь совершения атаки, позволяющей при работе mod_proxy в режиме обратного прокси отправить запрос из внешней сети к внутренним серверам в демилитаризованной зоне (DMZ), при наличии определенных rewrite-правил в конфигурации сервера;
  • Для блокирования возможных атак, направленных на обращение к ресурсам за пределами обратного прокси, Apache теперь отвергает все запросы c URI не соответствующими спецификации HTTP;
  • Устранена проблема с обработкой файлов scoreboard, которую можно было использовать для инициирования краха основного управляющего процесса httpd при выполнении определённых действий со стороны непривилегированных дочерних процессов httpd;
  • Устранена проблема, которая может быть использована для получения значений "httpOnly" Cookies при выводе ответа с указанием ошибки, если для 400 кода ошибки не определён собственный обработчик ErrorDocument.

Из не связанных с безопасностью исправлений, можно отметить устранение приводящих к краху ошибок в mod_log_config, mod_substitute и ap_send_interim_response(). Для mod_ssl изменено значение по умолчанию: отключен SSLv2, допускается использование только шифров начиная с 128 бит. В mod_win32 устранены проблемы при обработке переменных окружения, содержащих символы UTF-8. Устранено внесённое в версии 2.2.21 регрессивное изменение, вызывающее проблемы с сортировкой хуков для модулей Perl. В примере конфигурации директивы MaxRange вместо значения "0" теперь указано "unlimited".

  1. Главная ссылка к новости (http://www.apache.org/dist/htt...)
  2. OpenNews: Новый метод атаки на обратный прокси Apache
  3. OpenNews: Релиз http-сервера Apache 2.2.21
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/32943-apache
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (2) RSS
  • 1, Урсадон (?), 19:22, 01/02/2012 [ответить]  
    		• +/
    Прям юбилейная версия.
     
  • 2, CSRedRat (ok), 12:18, 27/04/2016 [ответить]  
    		• +/
    До сих пор много где используется именно эта версия.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру