Новий реліз Apache HTTP Server виправляє серйозну проблему безпеки

admin Новини ІТ-безпеки

Новий реліз Apache HTTP Server виправляє серйозну проблему безпекиРозробники популярного HTTP-сервера Apache представили нову версію свого продукту - 2.2.18, в якій крім мінори поліпшень, а також зміни алгоритму за замовчуванням для htpasswd на MD5, була виправлена серйозна загроза безпеці, що приводила до відмови в обслуговуванні (DoS).

Баг переховувався в бібліотеці Apache Portable Runtime, конкретніше - у функції apr_fnmatch (), в якій могло бути запущено рекурсивне порівняння рядків, що призводило до сильного завантаження процесора і споживання оперативної пам'яті. Тому дана атака швидше реалізується в системах з активованим mod_autoindex для індексування каталогів, особливо якщо в них є файли з довгими іменами.

Якщо ви не можете оновити у себе версію сервера, то пропонується задіяти опцію "IgnoreClient" всередині "IndexOptions", що запобіжить обробці отриманих від клієнта аргументів і нейтралізує дію атаки.

Apache Portable Runtime є прикладною бібліотекою, що реалізує зручний інтерфейс до взаємодії з різними операційними системами. Через це APR широко використовується в інших проектах Apache, а також у багатьох сторонніх розробках. Тому зазначена вразливість поширюється не тільки на Apache HTTP Server, але і на абсолютно інші додатки. Якщо ви як розробник використовуєте APR, то вам необхідно оновити версію бібліотеки до 1.4.4