Apache 2.0.46 łata luki poprzednika

Już po raz drugi w ciągu dwóch miesięcy Apache Software Foundation wydała uaktualnioną wersję popularnego serwera webowego formuły open source po to jedynie, aby ostrzec użytkowników o krytycznych lukach w poprzedniej wersji oprogramowania, które zostały "załatane" w tym wydaniu.

Wersja Apache 2.0.46 została określona w biuletynie opublikowanym przez organizację, jako "wydanie uszczelniające wykryte luki bezpieczeństwa".

Wśród tych łatek jest także związana z luką w module mod_dav, która mogła być wykorzystywana zdalnie do załamywanie procesów serwera webowego.

Mod_dav jest modułem open source obsługującym protokół WebDAV (World Wide Web Distributed Authoring and Versioning) w serwerze Apache. WebDAV jest zestawem rozszerzeń do HTTP, pozwalających użytkownikowi edytować i zarządzać plikami na zdalnych serwerach webowych. Protokół został zaprojektowany dla potrzebę tworzenia aplikacji przez geograficznie rozproszone, "wirtualne" zespoły projektowe.

W marcu także Microsoft udostępnił łatkę do usterki w komponencie Windows, używanym do obsługi niekontrolowanych buforów w komponencie Windows 2000, używanym z kolei do obsługi protokołu WebDAV. Usterka ta (wykorzystana już przez hakerów) pozwalała napastnikowi uzyskiwać efekt przepełnienia bufora w maszynach, na których pracował Internet Infomation Server.

Kolejna z łatek włączonych w nowe wydanie Apache dotyczy luki w module uwierzytelniania, która umożliwiała wykonanie ataku DoS. Wykorzystując usterkę w skrypcie konfiguracyjnym używanym przez funkcje sprawdzania hasła, napastnik mógł wyprowadzić zdalnie atak DoS, który mógł spowodować odrzucanie poprawnych nazw użytkowników i haseł.

Usterki te dotyczą wersji Apache od 2.0.37 do najnowszej 2.0.45, która pojawiła się w kwietniu.


Zobacz również