Возврат
ТелекомВести

20 июня 2002 г.Следующая новость



Опасная "брешь" в Интернет-серверах Apache


19 июня ("Телеком-Форум")

Ассоциация Apache Software Foundation сообщила об обнаружении серьезной уязвимости в серверном ПО Apache, воспользовавшись которой хакер может проводить DoS-атаки на ресурс или, в некоторых случаях, получить непосредственный доступ к системе. Найденная "брешь" содержится практически во всех "разновидностях" Apache 1.3, а также Apache 2 вплоть до версии 2.0.36. Вкратце, ошибка заключается в некорректном определении размера загружаемых на сайт данных для специальных образом составленных запросов.

По данным американского разработчика средств обеспечения защиты от несанкционированного доступа Internet Security Systems (ISS), злоумышленник может также запустить на выполнение произвольный программный код, в случае, если Apache версий 1.x функционирует на платформе Microsoft Windows 2000 или Windows 2000 Server. Можно отметить, что компания ISS, опубликовавшая свое отдельное предупреждение, характеризует проблему как "очень серьезную".

Ряд специалистов отмечает, что новая "дырка" аналогична обнаруженной на прошлой неделе уязвимости в ПО Internet Information Server (IIS) компании Microsoft. В то же время, в прошлом месяце насчитывалось, по данным исследовательской фирмы Netcraft, около 63,7% Web-сайтов, работающих под управлением ПО Apache, в то время как доля IIS составляла всего 27,4%. Сообщество Apache Software Foundation работает в настоящее время над разработкой "заплатки" для Интернет-серверов, а пока рекомендует пользователям Apache 1.3 и 2.0 обновить ПО до "здоровой" версии 1.3.26 и 2.0.39 соответственно. Более подробную информацию можно получить на Web-узле этой организации.

Apache Software Foundation

http://www.apache.org

Netcraft

http://www.netcraft.com/survey

Дополнительная информация

И, наконец, увидел свет (10 апреля 2002 г.)

Вирусы и Internet Explorer (5 марта 2002 г.)

CERT: Технология РНР содержит ошибки (4 марта 2002 г.)

Проблемы Internet Explorer (4 октября 2001 г.)

Брешь в серверном ПО Microsoft (22 июня 2001 г.)