Форум Рідного Міста

У веб-сервері Apache ліквідована небезпечна дірка

Agent86 - 7-4-2003 у 09:18

Опублiковано 3 квітня 2003 року

Товариство розробників веб-сервера Apache повідомило про випуск обновленої версії цього продукту з номером версії 2.0.45. Причиною для випуску оновлення стало виявлення у всіх попередніх версіях Apache 2.0 (до 2.0.44 включно) небезпечної вразливості, у випадку використання якої хакером є небезпека відмова сервера від обслуговування користувачів. Дана діра була виявлена експертом компанії iDefence Девіидом Ендлером.

Подробиці про дірку поки тримаються в секреті: розробники мають намір дати всім користувачам Apache досить часу для оновлення пакету до безпечної версії. Докладний опис діри буде опубліковано в спеціальному бюлетені 8 квітня. Крім того, у Apache 2.0.45 усунута помилка, що приводить до витоку дескрипторів файлів дочірнім процесам, таких як cgi-скріпти. Це також могло негативно позначитися на безпеці системи. В новій версії Apache і інші виправлення і доповнення.

Утім, з безпекою Apache 2.0.45 теж не всі гладко. Розробники попереджають, що у версії веб-сервера для OS/2 усе ще є вразливість, що приводить до DoS-атаки. Вона не має нічого загального з дірою, виявленої Девідом Ендлером, і була знайдена іншим експертом по комп'ютерній безпеці Робертом Говардом. Цю діру розробники обіцяють виправити у версії 2.0.46. Заплатка для неї не була включена у версію 2.0.45 через необхідність випустити її якомога швидше.


джерела : www.compulenta.ru, Apache.org