Alvorlige sårbarheter i Apache

Kan i verste fall gi full tilgang til systemet webserveren kjøres på.

Apache Software Foundation forbereder en sikkerhetsoppdatering til stiftelsen HTTP Server 2.2.x som fjerner tre ulike sårbarheter.

Den mest alvorlige av sårbarhetene skyldes at mod_isapi-modulen losser ISAPI-moduler før prosesseringen av forespørsler er ferdig, noe som potensielt kan føre til at «foreldreløse» callback-pekere blir forlatt. Dette kan utnyttes ved å sende en spesielt utformet spørring, etterfulgt av en reset-pakket. På Windows-baserte systemer kan dette åpne for kjøring av vilkårlig kode med SYSTEM-privilegier.

De to øvrige sårbarhetene åpner for henholdsvis tjenestenektangrep (DoS) og tilgjengeliggjøring av sensitiv informasjon.

Flere detaljer om sårbarhetene finnes på denne siden.

Sårbarhetene vil bli fjernet i versjon 2.2.15 av Apache HTTP Server.

Til toppen