#1
|
|||
|
|||
Специалист по безопасности Марк Личфилд обнаружил серьезную уязвимость в веб-сервере Apache для Windows, которая может быть использована для проведения DoS-атак. Уязвимость присутствует во всех версиях Apache 1.3.x (в том числе, 1.3.24), и во всех версиях Apache 2.x (вплоть до 2.0.36). Расследование, проведенное разработчиками из Apache Software Foundation показало, что проблема на самом деле намного серьезнее: существует возможность проведения DoS-атак на Apache для других платформ, причем в некоторых версиях веб-сервера уязвимость может быть использована и для удаленного взлома.
Уязвимость может быть задействована путем отправки некорректного запроса серверу. Специально составленный запрос может привести к сбою дочернего процесса сервера. В лучшем (для владельца веб-сервера) случае, родительский процесс заменит прекративший работу процесс, а создание новых дочерних процессов использует все ресурсы системы. Сбой и замена дочернего процесса приводят к довольно длительному перебою в работе веб-сервера. Наиболее уязвимыми в данном случае считаются версии Apache для Windows и Netware, которые создают новый процесс с повторным чтением конфигурации. В Apache 2.0 аварийное состояние сервера корректно определяется, что не позволяет проводить удаленный запуск исполняемого кода на сервере. В Apache 1.3 уязвимость вызывает переполнение стека, что на 32-битных платформах приведет к завершению процесса, работающего с запросом. На 64-битных платформах, по сообщению разработчиков Apache, переполнение стека может быть проконтролировано удаленно. Таким образом, на 64-битных платформах уязвимость может быть использована для проведения атак на сервер другими методами. (источник - http://www.compulenta.ru/, опубликовано 18.06.2002) The Common Vulnerabilities and Exposures project (cve.mitre.org) назвали это обновление, как CAN-2002-0392. PS. Мы уже обновили Apache до версии 1.3.26-1 и mod_sll до версии 2.8.9-1
__________________
Территория Русского Хостинга - http://www.r-host.ru/ виртуальные unix-сервера от 5 USD |
#2
|
|||
|
|||
Что важно: данной уязвимости не подвержен Russian Apache с включённой перекодировкой.
|
#3
|
|||
|
|||
Что важно: нормальный админ Apache под Windows просто не использует
__________________
Предагаю всем вместе повысить цены на хостинг: +100% |
#4
|
|||
|
|||
Упс... Ошибка вышла. Это я про другую уязвимость, на счёт chunked-encoding говорил. Или это и есть о chunked-encoding?
|
#5
|
|||
|
|||
пошел почитать про апача, а зачитался про Мозиллу :о)
Статья "Internet Explorer больше не лучший браузер!" Классно :о) Уже качаю :о) |
#7
|
|||
|
|||
Linux то плюёт, но DoS устроить можно
Я вроде внимательно перечитал BugTraq и статью об этом на Void.Ru написал. Скоро, наверное, отмодерируется. Для тех, кто не перейдёт на новую версию ситуация довольно плачевная складывается |
#8
|
|||
|
|||
уже обновился
|
#9
|
|||
|
|||
Насколько я понял, реального DOS-а сделать не получится - Apache вроде-бы создает новые children-ы быстрее, чем ты сможешь их "выносить", даже если будешь это делать скриптом на сервере.
P.S. Но в любом случае патчи ставить нужно . |
#10
|
|||
|
|||
fork быстрым быть не может по определению.
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Настройка Apache | Delit | Технические аспекты и вопросы безопасности | 3 | 04.03.2009 11:06 |
XSS-уязвимость на многих WHOIS`ах | DomainMan | Домены | 0 | 12.09.2006 20:25 |
Что нужно на сервере веб хостинга | menvil | Технические аспекты и вопросы безопасности | 2 | 14.03.2005 16:25 |
Оптимизация apache | First[Altura.ru] | Технические аспекты и вопросы безопасности | 5 | 26.02.2005 17:31 |
Обнаружена уязвимость в веб-сервере Apache | acidrust | Форум по Web-хостингу | 2 | 22.06.2002 02:32 |