|
|
|||||||
| Регистрация | Статьи о хостинге | Справка | Пользователи | Social Groups | Календарь | Поиск | Сообщения за день | Все разделы прочитаны |
 |
|
|
Опции темы |
|
#1
22.06.2002, 02:30
|
|||
|
|||
Специалист по безопасности Марк Личфилд обнаружил серьезную уязвимость в веб-сервере Apache для Windows, которая может быть использована для проведения DoS-атак. Уязвимость присутствует во всех версиях Apache 1.3.x (в том числе, 1.3.24), и во всех версиях Apache 2.x (вплоть до 2.0.36). Расследование, проведенное разработчиками из Apache Software Foundation показало, что проблема на самом деле намного серьезнее: существует возможность проведения DoS-атак на Apache для других платформ, причем в некоторых версиях веб-сервера уязвимость может быть использована и для удаленного взлома.
Уязвимость может быть задействована путем отправки некорректного запроса серверу. Специально составленный запрос может привести к сбою дочернего процесса сервера. В лучшем (для владельца веб-сервера) случае, родительский процесс заменит прекративший работу процесс, а создание новых дочерних процессов использует все ресурсы системы. Сбой и замена дочернего процесса приводят к довольно длительному перебою в работе веб-сервера. Наиболее уязвимыми в данном случае считаются версии Apache для Windows и Netware, которые создают новый процесс с повторным чтением конфигурации. В Apache 2.0 аварийное состояние сервера корректно определяется, что не позволяет проводить удаленный запуск исполняемого кода на сервере. В Apache 1.3 уязвимость вызывает переполнение стека, что на 32-битных платформах приведет к завершению процесса, работающего с запросом. На 64-битных платформах, по сообщению разработчиков Apache, переполнение стека может быть проконтролировано удаленно. Таким образом, на 64-битных платформах уязвимость может быть использована для проведения атак на сервер другими методами. (источник - http://www.compulenta.ru/, опубликовано 18.06.2002) The Common Vulnerabilities and Exposures project (cve.mitre.org) назвали это обновление, как CAN-2002-0392. PS. Мы уже обновили Apache до версии 1.3.26-1 и mod_sll до версии 2.8.9-1
__________________
Территория Русского Хостинга - http://www.r-host.ru/ виртуальные unix-сервера от 5 USD 
|
|
#2
22.06.2002, 09:55
|
|||
|
|||
|
Что важно: данной уязвимости не подвержен Russian Apache с включённой перекодировкой.
|
|
#4
22.06.2002, 11:57
|
|||
|
|||
|
Упс... Ошибка вышла. Это я про другую уязвимость, на счёт chunked-encoding говорил. Или это и есть о chunked-encoding?
|
|
#5
22.06.2002, 17:09
|
|||
|
|||
|
пошел почитать про апача, а зачитался про Мозиллу :о)
Статья "Internet Explorer больше не лучший браузер!" Классно :о) Уже качаю :о)
|
|
#7
22.06.2002, 17:14
|
|||
|
|||
|
Linux то плюёт, но DoS устроить можно
 Я вроде внимательно перечитал BugTraq и статью об этом на Void.Ru написал. Скоро, наверное, отмодерируется. Для тех, кто не перейдёт на новую версию ситуация довольно плачевная складывается 
|
|
#9
28.06.2002, 16:11
|
|||
|
|||
|
Насколько я понял, реального DOS-а сделать не получится - Apache вроде-бы создает новые children-ы быстрее, чем ты сможешь их "выносить", даже если будешь это делать скриптом на сервере.
P.S. Но в любом случае патчи ставить нужно .
|
|
#10
28.06.2002, 17:44
|
|||
|
|||
|
fork быстрым быть не может по определению.
|
|
| Опции темы | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Настройка Apache | Delit | Технические аспекты и вопросы безопасности | 3 | 04.03.2009 11:06 |
| XSS-уязвимость на многих WHOIS`ах | DomainMan | Домены | 0 | 12.09.2006 20:25 |
| Что нужно на сервере веб хостинга | menvil | Технические аспекты и вопросы безопасности | 2 | 14.03.2005 16:25 |
| Оптимизация apache | First[Altura.ru] | Технические аспекты и вопросы безопасности | 5 | 26.02.2005 17:31 |
| Обнаружена уязвимость в веб-сервере Apache | acidrust | Форум по Web-хостингу | 2 | 22.06.2002 02:32 |
