LINUX.ORG.RU

Новый релиз Apache HTTP Server исправляет серьезную проблему безопасности

 , , , ,


0

1

Разработчики популярного HTTP-сервера Apache представили новую версию своего продукта - 2.2.18, в которой кроме минорых улучшений, а также изменения алгоритма по умолчанию для htpasswd на MD5, была исправлена серьезная угроза безопасности, приводившая к отказу в обслуживании (DoS).

Баг скрывался в библиотеке Apache Portable Runtime, конкретнее - в функции apr_fnmatch(), в которой могло быть запущено рекурсивное сравнение строк, что приводило к сильной загрузке процессора и потреблению оперативной памяти. Поэтому данная атака быстрее реализуется в системах с активированным mod_autoindex для индексирования каталогов, особенно если в них имеются файлы с длинными именами.

Если вы не можете обновить у себя версию сервера, то предлагается задействовать опцию «IgnoreClient» внутри «IndexOptions», что предотвратит обработку полученных от клиента аргументов и нейтрализует действие атаки.

Apache Portable Runtime является прикладной библиотекой, реализующей удобный интерфейс к взаимодействию с различными операционными системами. Из-за этого APR широко используется в других проектах Apache, а также во многих сторонних разработках. Поэтому указанная уязвимость распространяется не только на Apache HTTP Server, но и на совершенно другие приложения. Если вы как разработчик используете APR, то вам необходимо обновить версию библиотеки до 1.4.4.

>>> Подробности

интересно, если ли этот баг в Tomcat, запущенным с нативным APR?

maxcom ★★★★★ ()

Теперь LOIC и HOIC можно складывать в чулан?

darkshvein ☆☆ ()

слава б-гу у меня нжыныкс

anonymous ()

> изменения алгоритма по умолчанию для htpasswd на MD5

это что, все старые файлы паролей переделывать придется?

pekmop1024 ★★★★★ ()

В Apache снова проблемы? Беда-а-а ;)

yaws ()
Ответ на: комментарий от pekmop1024

> это что, все старые файлы паролей переделывать придется?

Нет, просто при использовании утилиты htpasswd теперь надо явно указывать опцию -d, если нужно crypt() вместо MD5.

Aectann ()

Разве DOS --- это проблема безопасности?

sv75 ★★★★★ ()
Ответ на: комментарий от sv75

> Разве DOS --- это проблема безопасности?

А что по твоему относится к проблемам безопасности?

anonymous_incognito ★★★★★ ()
Ответ на: комментарий от anonymous_incognito

Удалённое выполнение нужного кода (когда это не предполагалось)
Внезапное повышение привилегий
Утечка [предположительно защищённых] данных

То есть то, что ведет к компрометации системы.

Получение ресурсов в количестве большим, чем ожидалось мне представляется граничной проблемой, поскольку компрометации не происходит.

sv75 ★★★★★ ()
Ответ на: комментарий от sv75

> То есть то, что ведет к компрометации системы.

Понятно. Вообще-то, я думаю, что к проблемам безопасности относится более широкий круг проблем, в частности, выведение системы из строя - это тоже вопросы безопасности.

anonymous_incognito ★★★★★ ()
Ответ на: комментарий от anonymous_incognito

Возможно, просто тогда дизель-генератор будет средством борьбы за безопасность %)

sv75 ★★★★★ ()
Ответ на: комментарий от sv75

Кстати, как бы ни смешно это звучало, но для важных ресурсов это именно так и есть.

anonymous_incognito ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.