Специалисты по поддержке веб-сервера с открытым исходным кодом Apache устранили уязвимость, которую злоумышленники могли эксплуатировать для подрыва работы сайтов.
Уязвимости в HTTP-демоне Apache могли позволить хакерам достаточно просто "ронять" сервера при помощи общедоступного ПО, выпущенного на прошлой неделе. Ошибки в обработке веб-запросов с наложением диапазонов позволяли злоумышленникам сокрушать серверы при отправлении небольшого количество трафика.
Информационный бюллетень на вебсайте Apache сообщает, что баг, формально известный как CVE-2011-3192, был устранен в версии 2.2.20.
"Мы считаем данный релиз лучшей доступной версией Apache и советуем пользователям всех предыдущих версий произвести обновление", - гласит информационный бюллетень.
Один из багов, устраненных в обновлении, был специфичным для Apache, в то время как вторая уязвимость была известна с 2007 года и, возможно, существует во всех веб-серверах, гласит информационный бюллетень. Рабочая группа Internet Engineering Task Force рассматривает возможность изменения основообразующего протокола, ответственного за проблему, сообщает Apache.
Версии 1.3.x и с 2.0.x по 2.0.64 содержат denial-of-service уязвимости. Они могут быть приведены в действие простым веб-запросом, который содержит накладывающиеся друг на друга значения диапазонов для определенной страницы.
"Проблема заключается в том, что такие запросы внутри сервера разбиваются на сотни фрагментов, каждый из которых хранится в памяти неэффективным образом", - поясняется в информационном бюллетене Apache. "Эта проблема устраняется двумя способами: обеспечением большей эффективности и отсеиванием или упрощением запросов, выглядящих слишком громоздкими".
