Bug v Apache 2.2.14: útočník může získat jakákoli data z web serveru

8. 3. 2010 16:54 Adam Štrauch

Nálepky:

Apache

Ve webovém serveru Apache verze 2.2.14 a níž se objevila bezpečnostní chyba v modulu mod_isapi, která umožňuje útočníkovi spustit libovolný kód pod uživatelem běžícího Apache a tím pádem přistupovat k datům, ke kterým může přistoupit Apache. Uživatelům, kteří používají v Apachi tento modul se doporučuje aktualizovat na verzi 2.2.15, která již má chybu opravenou. Podle odkazovaného článku je potřeba na zneužití chyby poměrně pokročilý kód, ale i tak to samozřejmě nezabrání nějaké dobré duši uvolnit exploit. Chyba se týká operačního systému Windows, o to víc je vážnější, protože se aktualizace musí řešit ručně.

Dále čtěte…

Špatně opravená chyba v rewrite modulu webového serveru Apache 28. 11. 2011 10:33
Nginx ubírá body Apache i Microsoftu 14. 10. 2011 12:37
Apache 2.2.21 vylepšuje opravu v předchozí verzi 15. 9. 2011 10:44
Apache 2.2.20 odstraňuje chybu umožňující DoS útok 1. 9. 2011 12:19
Nginx jako reverzní proxy pro Apache 17. 6. 2011 0:00

Předchozí zprávička Následující zprávička

Twitter

Jagg

Delicious

mamlasek (neregistrovaný) ---.net.upc.cz

8. 3. 2010 21:11 Nový

redakci blesku... errr... rootu...

celé vlákno

aha, takze
1) neni to bug Apache ale modulu pro nej
2) chyba se projevuje pouze na Windows – a kdo sakra provozuje Apache na Windows? (pro produkcni server)

nadherne bulvarni nadpis zpravicky…

Odpovědět

Další nový názor

Sancho (neregistrovaný) 217.67.22.---

8. 3. 2010 22:15 Nový

Re: redakci blesku... errr... rootu...

celé vlákno

Tiez si myslim, ze by stalo za to napisat hned na zaciatku, ze sa jedna len o win verzie a ze je to v module, nie priamo v Apache.

Odpovědět

Další nový názor

best (neregistrovaný) ---.net.upc.cz

8. 3. 2010 23:20 Nový

Re: redakci blesku... errr... rootu...

celé vlákno

On to treba nemusi byt problem do internetu, ale uvnitr firmy.
Apache je pouzity na plno management webovych rozhrannich (k radicum disku, vendor monitoring systemu, …) Ona i nejaka ta webova management konzole k aplikaci ho muze mit (napada mne treba antivirus, …). Takove komponenty pak pochopitelne bezi i na produkcnich systemech.