Luka w Apache załatana, wydano wersję 2.2.20 serwera

W czwartek informowaliśmy o groźnej luce bezpieczeństwa w popularnym serwerze HTTP — Apache.

Apache Software Foundation ogłosiła wydanie wersji 2.2.20 otwartoźródłowego serwera http, która likwiduje jego wrażliwość na ataki DoS (Denial of Service).

Błąd CVE-2011-3192 został znaleziony w wersjach 1.3 i 2, aż do wersji 2.2.19 serwera Apache. Wrażliwość oprogramowania na DoS związana była ze sposobem, w jaki te wersje serwera obsługiwały zakresy bajtów w zapytaniach o fragmenty plików. Na serwerach, do których wysłano nawet niewielką liczbę zapytań z nakładającymi się zakresami, zauważono lawinowy wzrost zapotrzebowania na pamięć oraz znaczne obciążenie procesora. W takich warunkach Apache przestaje odpowiadać na kolejne zapytania. Problem był bardzo poważny, ponieważ dotyczył wielu wersji serwera, a exploit jest wciąż dostępny w Internecie i niestety wielokrotnie został wykorzystany do ataków.

Najnowsza wersja Apache dostępna jest dla systemu Windows na naszym portalu w dziale Programy -> Serwery i narzędzia dla specjalistów IT -> Serwery WWW i FTP. Użytkownicy innych systemów operacyjnych mogą pobrać odpowiednią wersję lub kod źródłowy Apache 2.2.20 ze strony Apache Foundation.