Вчера выпущен (http://www.apache.org/dist/httpd/Announcement.html) новый релиз http-сервера Apache 1.3.32, в котором исправлено несколько ошибок в mod_rewrite, а также ошибки в mod_digest, mod_log_forensic,mod_setenvif, mod_usertrack и mod_so.
Самое неприятное, что в Apache 1.3.32 <font color=red>
не исправлено
</font> обнаруженное на днях локальное переполнение буфера в mod_include (http://www.securitylab.ru/48807.html), позволяющее локальным пользователям, имеющим возможность использования SSI директив, запустить свой код под привилегиями web-сервера.
Решение: найти в файле mod_include.c все строки
"if (t - tag == tagbuf_len) {" и заменить на "if (t - tag == tagbuf_len - 1) {".
URL: http://www.securitylab.ru/48807.html
Новость: http://www.opennet.me/opennews/art.shtml?num=4534