В Apache обнаружена ещё одна серьезная «дыра»

Поставщики Linux и UNIX в срочном порядке выпускают исправления серьёзной ошибки в коде веб-сервера Apache, использование которой может позволить хакерам повредить систему или запустить в ней вредоносный код. Ошибка проявляется в версиях 1.3.х сервера, сконфигурированного для работы в качестве прокси. По информации исследователя в области безопасности Джорджи Гунинского (Georgi Guninski), опубликовавшего исходный код программы, которая может продемонстрировать использование уязвимости, при подключении сервера к сайту злоумышленника, ему посылается составленный определённым образом пакет, использующий уязвимость.

К наиболее серьёзным последствиям использования ошибки может привести в BSD-системах, где с её помощью можно запустить любой код, тогда как на других платформах использование уязвимости скорее всего приведёт просто к краху системы. Гунински обнародовал информацию об ошибке в прокси-сервере в начале этого месяца, а в прошлом месяце обнаружил похожую уязвимость в модуле Apache, обеспечивающем работу криптопротокола SSL.

Компания Debian и Gentoo Linux выпустили исправление в виде патча. Red Hat, OpenBSD и OpenPKG также выпустили исправления, а у Novell SuSE Linux патч ещё находится в стадии тестирования. По словам специалистов, ОС компании Apple, созданная на основе BSD, скорее всего тоже подвержена атаке, однако Apple пока ничего не сообщила о выпуске своего исправления.

По информации компании Secunia, ошибка в прокси-сервере является уже шестой уязвимостью в Apache 1.3.x в этом году.