Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение поддержки ветки Apache 2.0.x
Доступны корректирующие выпуски прошлых стабильных веток http-сервера Apache — 2.2.25 и 2.0.65, в которых устранена порция накопившихся ошибок, среди которых также присутствуют устранения незначительных уязвимостей. В версии 2.0.65 устранено 6 уязвимостей, накопившихся с момента выпуска 2.0.64 в 2010 году. Отмечается, что выпуск 2.0.65 является последним, больше обновлений для ветки 2.0 выпускаться не будет. Всем пользователям Apache 2.0.x рекомендуется перейти на использование ветки 2.2 или 2.4. В версии 2.2.25 исправлены две актуальные уязвимости: CVE-2013–1862 и CVE-2013–1896. Первая проблема затрагивает модуль mod_rewrite и позволяет удаленному злоумышленнику выполнить произвольную команду в момент просмотра лог-файла администратором сервера. Из-за отсутствия должного экранирования спецсимволов при записи в лог-файл, злоумышленник, при помощи специально оформленных запросов к веб-серверу, может записать в лог управляющие последовательности для терминала, при отображении которых можно добиться запуска произвольных команд. Вторая уязвимость связана с некорректной обработкой запросов на слияние в mod_dav и может привести к инициировании краха серверного процесса при отправке злоумышленником специально оформленных MERGE-запросов.
© OpenNet