Специалисты по поддержке веб-сервера с открытым исходным кодом Apache
устранили уязвимость, которую злоумышленники могли эксплуатировать для подрыва
работы сайтов.
Уязвимости в HTTP-демоне Apache могли позволить хакерам достаточно просто
"ронять" сервера при помощи общедоступного ПО,
выпущенного на прошлой
неделе. Ошибки в обработке веб-запросов с наложением диапазонов позволяли
злоумышленникам сокрушать серверы при отправлении небольшого количество трафика.
Информационный бюллетень на вебсайте Apache сообщает, что баг, формально
известный как CVE-2011-3192, был устранен в версии 2.2.20.
"Мы считаем данный релиз лучшей доступной версией Apache и советуем
пользователям всех предыдущих версий произвести обновление", - гласит
информационный бюллетень.
Один из багов, устраненных в обновлении, был специфичным для Apache, в то
время как вторая уязвимость была известна с 2007 года и, возможно, существует во
всех веб-серверах, гласит информационный бюллетень. Рабочая группа Internet
Engineering Task Force рассматривает возможность изменения основообразующего
протокола, ответственного за проблему, сообщает Apache.
Версии 1.3.x и с 2.0.x по 2.0.64 содержат denial-of-service уязвимости. Они
могут быть приведены в действие простым веб-запросом, который содержит
накладывающиеся друг на друга значения диапазонов для определенной страницы.
"Проблема заключается в том, что такие запросы внутри сервера разбиваются на
сотни фрагментов, каждый из которых хранится в памяти неэффективным образом", -
поясняется в информационном бюллетене Apache. "Эта проблема устраняется двумя
способами: обеспечением большей эффективности и отсеиванием или упрощением
запросов, выглядящих слишком громоздкими".
