LINUX.ORG.RU

Новый релиз Apache HTTP Server исправляет серьезную проблему безопасности

 , apr, , ,


0

1

Разработчики популярного HTTP-сервера Apache представили новую версию своего продукта - 2.2.18, в которой кроме минорых улучшений, а также изменения алгоритма по умолчанию для htpasswd на MD5, была исправлена серьезная угроза безопасности, приводившая к отказу в обслуживании (DoS).

Баг скрывался в библиотеке Apache Portable Runtime, конкретнее - в функции apr_fnmatch(), в которой могло быть запущено рекурсивное сравнение строк, что приводило к сильной загрузке процессора и потреблению оперативной памяти. Поэтому данная атака быстрее реализуется в системах с активированным mod_autoindex для индексирования каталогов, особенно если в них имеются файлы с длинными именами.

Если вы не можете обновить у себя версию сервера, то предлагается задействовать опцию «IgnoreClient» внутри «IndexOptions», что предотвратит обработку полученных от клиента аргументов и нейтрализует действие атаки.

Apache Portable Runtime является прикладной библиотекой, реализующей удобный интерфейс к взаимодействию с различными операционными системами. Из-за этого APR широко используется в других проектах Apache, а также во многих сторонних разработках. Поэтому указанная уязвимость распространяется не только на Apache HTTP Server, но и на совершенно другие приложения. Если вы как разработчик используете APR, то вам необходимо обновить версию библиотеки до 1.4.4.

>>> Подробности

Теперь LOIC и HOIC можно складывать в чулан?

darkshvein ☆☆
()

слава б-гу у меня нжыныкс

anonymous
()

> изменения алгоритма по умолчанию для htpasswd на MD5

это что, все старые файлы паролей переделывать придется?

pekmop1024 ★★★★★
()

В Apache снова проблемы? Беда-а-а ;)

yaws
()
Ответ на: комментарий от pekmop1024

> это что, все старые файлы паролей переделывать придется?

Нет, просто при использовании утилиты htpasswd теперь надо явно указывать опцию -d, если нужно crypt() вместо MD5.

Aectann
()
Ответ на: комментарий от anonymous_incognito

Удалённое выполнение нужного кода (когда это не предполагалось)
Внезапное повышение привилегий
Утечка [предположительно защищённых] данных

То есть то, что ведет к компрометации системы.

Получение ресурсов в количестве большим, чем ожидалось мне представляется граничной проблемой, поскольку компрометации не происходит.

sv75 ★★★★★
()
Ответ на: комментарий от sv75

> То есть то, что ведет к компрометации системы.

Понятно. Вообще-то, я думаю, что к проблемам безопасности относится более широкий круг проблем, в частности, выведение системы из строя - это тоже вопросы безопасности.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от sv75

Кстати, как бы ни смешно это звучало, но для важных ресурсов это именно так и есть.

anonymous_incognito ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.