Serwer Apache już zabezpieczony przed atakiem na TLS
Apache HTTP Web Server to najpopularniejszy serwer WWW na świecie. Znalezienie w nim luk to wyzwanie dla wszystkich specjalistów od bezpieczeństwa IT, zarówno tych blackhatowych jak i whitehatowych. Mają one bowiem dalekosiężne skutki, mając wpływ na miliony witryn w Sieci. Dlatego tak ważne są regularne aktualizacje Apache'a. W nowej wersji 2.2.15 załatano tyle krytycznych luk, że warto się jak najszybciej zainteresować aktualizacją.
Jakiś czas temu pisaliśmy o luce w TLS, która pozwala przeprowadzić atak man-in-the-middle na serwery IIS oraz Apache. Wydana aktualizacja serwera Fundacji wprowadza kilka zabezpieczeń, które chronią przed tą formą ataku. Najważniejszym z nich jest wykorzystanie kodu z najnowszej, zabezpieczonej już wersji OpenSSL (0.9.8.m) w module mod_ssl. Dodatkowo domyślna konfiguracja odrzuca teraz automatycznie wszystkie inicjowane przez klienta renegocjacje.
Rozwiązano również podatność na ataki Denial-of-Service (DoS) wymierzone w moduł mod_proxy_ajp, obsługujący system proxy. "mod_proxy_ajp zwraca niewłaściwy kod po napotkaniu błędu, wprowadzając backendowy serwer w stan błędu do momentu przekroczenia i wygaśnięcia limitu czasu (timeout). Napastnik może wysłać złośliwe żądania, aby wywołać ten problem, prowadząc do zablokowania usługi" – czytamy w oficjalnym komunikacie Fundacji.
W nowej paczce znalazły się również poprawki przeznaczone specjalne dla edycji Apache dla platformy Windows. Dotyczą one dotyczą modułu mod_isapi, służącego do obsługi rozszerzeń Internet Server. Był on podatny na ataki DoS – napastnik dzięki wysłaniu odpowiednio spreparowanego pakietu mógł usunąć mod_isapi z pamięci serwera, choć wskaźniki funkcji pozostawały na miejscu. Pozwalało to na skuteczne zawieszenie serwera.
Poprawioną wersję Apache'a można pobrać ze strony httpd.apache.org/download.cgi.
Źródło: ServerWatch.com
Polecamy
Warto przeczytać
Reklama
Komentarze
Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka
(słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.
Popularne
Pobierałeś pirackie pliki? Uważaj! Kontrole antypirackie w domach użytkowników to codzienność
27
Pobieraczek.pl pozwie internautów, którzy nie chcą płacić abonamentu
1455
Debata w sprawie ACTA: internauci spodziewali się chyba czegoś innego
14
Wynalazca WWW przed sądem: walczy tam o wolny dostęp do webowych technologii dla każdego
8
PHP 5.3.9 nie pozwoli hakerom zawiesić serwera. Pozwoli za to przejąć nad nim kontrolę
28
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
15
Internet w EU bez Facebooka i Google? Firmy nie mają wyboru: albo się dostosują, albo…
10
MSWiA zamówiło narzędzia do „złamania” Tora i podsłuchiwania internautów. Czy złamało przy tym prawo?
89
![[Aktualizacja] Facebook zablokował Demotywatory.pl. W czym zawiniły?](/files/groups/editors/internet/2011_11/demotywatory-30x22.jpg)
[Aktualizacja] Facebook zablokował Demotywatory.pl. W czym zawiniły?
36
FBI zamknęło Megaupload. Anonimowi dali się sprowokować. Teraz ich akcja uzasadni potrzebę SOPA?
17
-
Pobieraczek.pl pozwie internautów, którzy nie chcą płacić abonamentu
1455
-
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
15
„Donald matole, twój rząd dopadną kibole” – hakerska elita przyłącza się do walki z ACTA
23
-
Klamka jeszcze nie zapadła. Minister prosi Donalda Tuska, by wstrzymał się z podpisywaniem ACTA
24
Społeczność
jancio wodnik zesralem sie minimalistycznie-
Jay Bilberry: a nie powinieneś buć zmuszony do używania żadnego z nich...
-
dww Wydawało mi się, że reklama na blogach wygląda tak, że bloger dostaje...
-
MarekMarek Sądzę, że Google Drive ma spore szanse aby osiągnąć sukces. Z tego względu...
-
slawek22 Jakie strony z tych "innowacji" się wykluły? Mniej więcej to co poniżej...
-
Akrek "Warto zajrzeć na kalkulatorkar.pl, by przekonać się, że kwoty mogą być...
-
Artur H. Kolego ,jakie Ty masz pojęcie o prawdziwym biznesie...?To wszystko co...
- gardius: Dobra hurtownia sportowa (1)
- gardius: Tanie książki gdzie warto kupować? (1)
- Najdmen.pl: PROMOCJA, 500 DOMEN .EU ZA 1 PLN NETTO ! (1)
- VMLine: [Oferta] Serwery VPS Xen-HVM/OpenVZ z darmową administracją (2)
- Marek: Generowanie PDFa (2)
- Marek: problem z menu (2)
- Marek: Własne checkboxy w HTML,CSS (1)
Polecane książki
Praca
Czytaj Webhosting
Chcesz być na bieżąco z naszymi informacjami? Zapisz się na Newsletter.
Śledź nas: 
Zarejestruj domenę
Sprawdź dostępność swojej domeny:
| .pl: | 0 zł | .com: | 19.90 zł | |
|---|---|---|---|---|
| .com.pl: | 0 zł | .eu: | 19.90 zł |