Контакты
Подписка
МЕНЮ
Контакты
Подписка

Apache устранил DoS уязвимости

Apache устранил DoS уязвимости

Apache устранил DoS уязвимости


31.08.2011



Специалисты по поддержке веб-сервера с открытым исходным кодом Apache устранили уязвимость, которую злоумышленники могли эксплуатировать для подрыва работы сайтов.

Уязвимости в HTTP-демоне Apache могли позволить хакерам достаточно просто "ронять" сервера при помощи общедоступного ПО, выпущенного на прошлой неделе. Ошибки в обработке веб-запросов с наложением диапазонов позволяли злоумышленникам сокрушать серверы при отправлении небольшого количество трафика.

Информационный бюллетень на вебсайте Apache сообщает, что баг, формально известный как CVE-2011-3192, был устранен в версии 2.2.20.

"Мы считаем данный релиз лучшей доступной версией Apache и советуем пользователям всех предыдущих версий произвести обновление", - гласит информационный бюллетень.

Один из багов, устраненных в обновлении, был специфичным для Apache, в то время как вторая уязвимость была известна с 2007 года и, возможно, существует во всех веб-серверах, гласит информационный бюллетень. Рабочая группа Internet Engineering Task Force рассматривает возможность изменения основообразующего протокола, ответственного за проблему, сообщает Apache.

Версии 1.3.x и с 2.0.x по 2.0.64 содержат denial-of-service уязвимости. Они могут быть приведены в действие простым веб-запросом, который содержит накладывающиеся друг на друга значения диапазонов для определенной страницы.

"Проблема заключается в том, что такие запросы внутри сервера разбиваются на сотни фрагментов, каждый из которых хранится в памяти неэффективным образом", - поясняется в информационном бюллетене Apache. "Эта проблема устраняется двумя способами: обеспечением большей эффективности и отсеиванием или упрощением запросов, выглядящих слишком громоздкими".

Источник:
Xakep.ru