Во mod_rewrite модуле HTTP-сервера Apahce обнаружена уязвимость, которая теоретически, при определенных маловероятных обстоятельствах, может быть использована для совершения удаленной DoS атаки или запуска кода злоумышленника.
Проблеме подвержен Apache 1.3 начиная с 1.3.28, 2.0 начиная с 2.0.46 и 2.2 начиная с 2.2.0.
Экстренно были выпущены новые версии Apache 1.3.37, 2.0.59, 2.2.3.
Для исправления достаточно в файле src/modules/standard/mod_rewrite.c заменить строку "while (*cp && c < 5) {" на "while (*cp && c < 4) {".
Кроме исправления проблемы безопасности в версии 2.2.3 исправлен ряд проблем не связанных с безопасностью в mod_authn_alias, mod_authnz_ldap, mod_mem_cache, mod_autoindex, mod_charset_lite, mod_cache, mod_speling, mod_dbd, worker и event MPM.
|