Обнаружена уязвимость в Веб-сервере Apache под NetWare и Win

Обсуждение технических вопросов по продуктам Novell

Обнаружена уязвимость в Веб-сервере Apache под NetWare и Win

Сообщение Михаил Григорьев » 19 июн 2002, 14:34

Обнаружена уязвимость в веб-сервере Apache
Специалист по безопасности Марк Личфилд обнаружил серьезную уязвимость в веб-сервере Apache для Windows, которая может быть использована для проведения DoS-атак. Уязвимость присутствует во всех версиях Apache 1.3.x (в том числе, 1.3.24), и во всех версиях Apache 2.x (вплоть до 2.0.36). Расследование, проведенное разработчиками из Apache Software Foundation показало, что проблема на самом деле намного серьезнее: существует возможность проведения DoS-атак на Apache для других платформ, причем в некоторых версиях веб-сервера уязвимость может быть использована и для удаленного взлома.
Уязвимость может быть задействована путем отправки некорректного запроса серверу. Специально составленный запрос может привести к сбою дочернего процесса сервера. В лучшем (для владельца веб-сервера) случае, родительский процесс заменит прекративший работу процесс, а создание новых дочерних процессов использует все ресурсы системы. Сбой и замена дочернего процесса приводят к довольно длительному перебою в работе веб-сервера. Наиболее уязвимыми в данном случае считаются версии Apache для Windows и NetWare, которые создают новый процесс с повторным чтением конфигурации.
В Apache 2.0 аварийное состояние сервера корректно определяется, что не позволяет проводить удаленный запуск исполняемого кода на сервере. В Apache 1.3 уязвимость вызывает переполнение стека, что на 32-битных платформах приведет к завершению процесса, работающего с запросом. На 64-битных платформах, по сообщению разработчиков Apache, переполнение стека может быть проконтролировано удаленно. Таким образом, на 64-битных платформах уязвимость может быть использована для проведения атак на сервер другими методами. Дополнительную информацию по данной уязвимости можно получить здесь. Патч для веб-сервера Apache в настоящее время готовится. О готовности заплатки можно узнать здесь.
http://httpd.apache.org/info/security_bulletin_20020617.txt

Ждём патч.... :!:
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1461
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Сообщение Владимир Никитин » 19 июн 2002, 17:18

Компания Apache Software Foundation выпустила обновленные версии веб-сервера Apache линеек 1.3.x и 2.0.x, в которых решены проблемы с обнаруженной вчера уязвимостью. Дистрибутивы Apache 1.3.26 и 2.0.39 доступны здесь http://www.apache.org/dist/httpd/binaries, исходный код - на этой странице http://www.apache.org/dist/httpd. Обновленние программного продукта связано с обнаруженной ранее уязвимостью.
Вообще, как отмечают на The Register, обнаружение дыры в системе безопасности приняло несколько скандальный оттенок. Это связано с тем, что компания Internet Security Systems (ISS) опубликовала информацию об уязвимости в рассылке BugTraq, не дав времени разработчикам Apache на исследование появившейся информации.

Более того, ISS обнародовала информацию об уязвимости, не исследовав проблему до конца - позже обнаружилось, что дыра в защите может быть использована и в случае с версией Apache для Unix-систем, хотя ISS посчитала, что уязвима только Windows-версия. ISS даже представила собственный патч для решения проблемы, который, как выяснили в Apache, не избавляет веб-сервер от дыры в защите.

Некоторая часть сообщества разработчиков открытого софта оценила такие действия ISS как попытку дискредитации свободного программного обеспечения (коим и является Apache). Действительно, преждевременная публикация информации о дыре в защите крайне популярного программного продукта могла отрицательно сказаться на движении открытого софта в целом. Даже если ISS и преследовала какие-либо политические цели, ей мало что удалось по причине небольшого риска от уязвимости для большинства пользователей и оперативной работы разработчиков Apache.

Источник : http://www.compulenta.ru/2002/6/19/31124/
Аватара пользователя
Владимир Никитин
 
Сообщения: 445
Зарегистрирован: 05 июн 2002, 07:38
Откуда: Ростов-на-Дону

Сообщение Юрий Беляков » 19 июн 2002, 18:21

А под NW еще не пересобрали :(
Аватара пользователя
Юрий Беляков
 
Сообщения: 628
Зарегистрирован: 31 май 2002, 11:46
Откуда: Екатеринбург

Сообщение Михаил Григорьев » 20 июн 2002, 11:15

Не торопятся.... 2 дня уж прошло....

Ждём..... 8)
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1461
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Сообщение Юрий Беляков » 20 июн 2002, 11:38

Григорьев Михаил писал(а):Не торопятся.... 2 дня уж прошло....

Ждём..... 8)


Как не торопятся? Я уже обновил...

http://novell2.net-burg.com
Аватара пользователя
Юрий Беляков
 
Сообщения: 628
Зарегистрирован: 31 май 2002, 11:46
Откуда: Екатеринбург

Сообщение Михаил Григорьев » 20 июн 2002, 12:07

Скачал..... Спасибо....

А на http://www.apache.org/dist/httpd/binaries/netware/ ничего нет почему то ????
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1461
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Сообщение Юрий Беляков » 20 июн 2002, 12:52

Григорьев Михаил писал(а):Скачал..... Спасибо....

А на http://www.apache.org/dist/httpd/binaries/netware/ ничего нет почему то ????


Прокси закешировал :lol:
Аватара пользователя
Юрий Беляков
 
Сообщения: 628
Зарегистрирован: 31 май 2002, 11:46
Откуда: Екатеринбург

Сообщение Михаил Григорьев » 20 июн 2002, 13:16

И вправду закешировал.... А вроде как пару раз Обновить давил... :lol:
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1461
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

cron