Две уязвимости обнаружены в Apache. Первая позволяет удаленному пользователю аварийно завершить работу связанного дочернего Apache процесса. Вторая позволяет удаленному пользователю остановить работу Basic Authentication метода. 

Согласно сообщению, недостаток обнаружен в модуле mod_dav и возможно в других модулях. Удаленный атакующий может аварийно завершить работу дочернего процесса Apache. Дополнительные детали будет сообщены iDEFENSE в ближайшее время. 

Также сообщается, что удаленный пользователь может эксплуатировать уязвимость на UNIX платформах, чтобы отключить работу HTTP Basic Authentication метода. Недостаток происходит из-за проблем в безопасном потоке (thread-safe) в функции apr_password_validate(). Ошибка в сценарии конфигурации может заставить функцию apr_password_validate() выйти из безопасного потока на платформах, которые используют функцию crypt_r(), включая AIX и Linux. Версии Apache 2.0 на платформах, которые не используют crypt_r() или thread-safe crypt() также уязвимы, например Mac OS X. Если используется threaded multi-processing module (MPM) (не включен по умолчанию), удаленный пользователь может заставить сервер не принимать правильное имя пользователя/пароль, представленное серверу для Basic Authentication, пока сервер не будет перезапущен. Считается, что этот недостаток не может эксплуатироваться удаленно. 

Уязвимость обнаружена в Apache Web Server 2.0 — 2.0.45 и устранена в 2.0.46.



Оставить мнение