Usikret buffer i Apache åpner for DoS-angrep

I sin uttrettelige jakt på sårbarheter har Georgi Guninski avdekket et kritisk hull i Apache.

Den uavhengige bulgarske IT-sikkerhetseksperten Georgi Guninski er blitt kjent for sin påvisning av flere hull i populær programvare, blant annet i Microsoft Office og i nettlesere som Internet Explorer og Opera.

I går kunngjorde Guninski sin oppdagelse av en usikret buffer i Apache 1.3.x, nærmere bestemt modulen «mod_proxy». Sårbarheten er rettet i versjon 1.3.32-dev.

Sikkerhetshullet åpner for at uvedkommende kan få Apache – en svært populær og gratis tilgjengelig webserver – til å krasje. Det vil med andre ord kunne brukes i et tjenestenektangrep (DoS-angrep eller «denial of service»). Guninski antyder at det også vil kunne brukes til å overta offerets system, men at det ikke er sikkert. Visse BSD-systemer skal være mest utsatt.

Den danske varslingstjenesten Secunia betegner sårbarheten som «meget kritisk».

Guninskis egen redegjørelse gir fyldige detaljer.

Til toppen