Błędy w serwerze Apache 1.3.x
Ostatnio pisaliśmy o kilku błędach występujących w serwerze www Apache w wersji 2.0.x które występowały przede wszystkim w wewnętrznych funkcjach i modułach serwera. Na atak podatne były wszystkie wersje Apache 2.0.x zaś w przypadku wersji 1.3.x błędów tych nie stwierdzona. Niestety użytkownicy wersji 1.3.x również narażeni są na, nieco inny atak.
Wczoraj SecuriTeam opublikowała informacje na temat podatności na nowy błąd wszystkich wersji serwera Apache z serii 1.3.x. Ów błąd dotyczy przepełnienia stosu w programie htpasswd – plik tworzący i aktualizujący plik autoryzacji, co pozwala atakującemu na wykonanie dowolnego kodu.
Niestety jeszcze nie ma ani nowej wersji ani poprawki, która usunie powyższy błąd. Pocieszającym faktem jest jednak to, że plik htpasswd standardowo nie posiada ustawionego wyższego uprzywilejowania (setuid), co jednoznacznie oznacza, że nie będzie bezpośredniej możliwości uzyskania uprawnień administratora.
Zobacz również:
– Błędy w serwerze Apache 2.0.x