Apache – самый распространенный веб-сервер в мире, а потому наличие в нем
брешей может иметь катастрофические последствия. В связи с этим обновление до
последней версии 2.2.15, в которой разработчики закрыли ряд способов обхода
средств обеспечения безопасности, считается критически важным.
Основное внимание в работе над новой версией было уделено уязвимости в SSL,
связанной с возможностью пересогласования протокола TLS без переустановки
соединения. Эта брешь создает опасность проведения MITM-атаки, позволяющей
осуществить спуфинг защищенных SSL сайтов с помощью подставных данных
авторизации SSL/TLS.
Apache 2.2.15 имеет целый ряд обновлений, призванных предотвратить
использование описанного выше бага. Одно из них – корректировка модуля mod_ssl.
В комментариях к релизу специалисты Apache пишут, что код сервера был обновлен
таким образом, чтобы учесть изменения, внесенные разработчиками OpenSSL в
библиотеку openssl (версия OpenSSL 0.9.8m). Кроме того, в конфигурации по
умолчанию сервер теперь отклоняет все инициированные клиентом попытки
пересогласования.
Помимо закрытия бреши в SSL/TLS, новая версия Apache позволяет избавиться от
уязвимости, с помощью которой хакеры могут удаленно вызвать отказ в обслуживании
сервера, послав для обработки модулю mod_proxy_ajp составленный особым образом
вредоносный запрос. С описанием данной проблемы можно ознакомиться
здесь.
Для Windows-версий Apache 2.2.15 доступно еще одно обновление, закрывающее
баг в модуле mod_isapi, ошибка в котором приводит к отказу в обслуживании или
выполнению произвольного кода.
