1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

Новый релиз Apache HTTP Server исправляет серьезную проблему безопасности

Тема в разделе "Новости интернета", создана пользователем SeM13, 16 май 2011.

Загрузка
  1. SeM13

    SeM13 Создатель системы

    Регистрация:
    05.01.11
    Сообщения:
    747
    Симпатии:
    252
    Версия XF:
    1.1.3
    Разработчики популярного HTTP-сервера Apache представили новую версию своего продукта - 2.2.18, в которой кроме минорых улучшений, а также изменения алгоритма по умолчанию для htpasswd на MD5, была исправлена серьезная угроза безопасности, приводившая к отказу в обслуживании (DoS).

    Баг скрывался в библиотеке Apache Portable Runtime, конкретнее - в функции apr_fnmatch(), в которой могло быть запущено рекурсивное сравнение строк, что приводило к сильной загрузке процессора и потреблению оперативной памяти. Поэтому данная атака быстрее реализуется в системах с активированным mod_autoindex для индексирования каталогов, особенно если в них имеются файлы с длинными именами.

    Если вы не можете обновить у себя версию сервера, то предлагается задействовать опцию "IgnoreClient" внутри "IndexOptions", что предотвратит обработку полученных от клиента аргументов и нейтрализует действие атаки.

    Apache Portable Runtime является прикладной библиотекой, реализующей удобный интерфейс к взаимодействию с различными операционными системами. Из-за этого APR широко используется в других проектах Apache, а также во многих сторонних разработках. Поэтому указанная уязвимость распространяется не только на Apache HTTP Server, но и на совершенно другие приложения. Если вы как разработчик используете APR, то вам необходимо обновить версию библиотеки до 1.4.4.
     
    TAIFUN нравится это.

Поделиться этой страницей