Frozen Fido : RU.INTERNET.SECURITY : Russian Security Newsline 20.06.2002

ru.internet.security

 
 - RU.INTERNET.SECURITY ---------------------------------------------------------
 From : Dmitry Leonov                        2:5020/400     20 Jun 2002  02:59:15
 To : All
 Subject : Russian Security Newsline 20.06.2002
 --------------------------------------------------------------------------------

 Приветствую!
   
 Russian Security Newsline 20.06.2002
 
 Дырка в Apache
 20.06.02 02:48 
 Apache 1.2 (начиная с версии 1.2.2), 1.3 (до версии 1.3.24 включительно) и
 Apache 2 (до версии 2.0.36) содержит ошибку в обработке некорректных запросов,
 закодированных с помощью chunked encoding (режим http 1.1, позволяющий
 отправлять данные не одним потоком, а несколькими блоками, и именно при сборке
 этих блоков случилась ошибка). Она приводит к аварийному завершению потока или
 процесса (в зависимости от платформы), обрабатывающего запрос.
 Как минимум это может привести к DoS-атаке (например, поток подобных запросов
 через некоторое время заставит сервер полностью переключиться на увлекательную
 работу по запуску новых дочерних процессов). Кроме того, в версии 1.3 данная
 ошибка приводит к переполнению стека, которое, скорее всего, можно будет
 использовать на 64-битных платформах и в Windows-версии для выполнения на
 сервере произвольного кода.
 Уже выпущены исправленные версии (1.3.26 и 2.0.39). Обновление крайне
 желательно. По цепочке пошли сообщения об обновлениях продуктов, использующих
 Apache. 
 Источник: http://httpd.apache.org/info/security_bulletin_20020617.txt 
 -----------------------------
 
 Когда кричать о багах?
 19.06.02 15:54 
 Актуальный в последнее время вопрос: как сообщать об обнаруженных уязвимостях - 
 сразу всем или только разработчику? Каким должен быть период моратория на
 открытую публикацию этой информации?
 Об этих и других вопросах пишет в своей статье "Are security warnings jumping
 the gun?" Robert Lemos.
 
  
 Источник:
 http://techupdate.zdnet.com/techupdate/stories/main/0,14179,2871159,00.html 
 -----------------------------
 Также в выпуске:
 Шпионить надо по закону. (http://www.bugtraq.ru/rsn/archive/2002/06/27.html) // 
 19.06.02 15:41
 Хакать - это непатриотично! (http://www.bugtraq.ru/rsn/archive/2002/06/26.html) 
 // 19.06.02 15:36
 Очередной выпуск Crypto-Gram (http://www.bugtraq.ru/rsn/archive/2002/06/23.html)
 // 17.06.02 07:26
 IE 5-6 CSS parsing error (http://www.bugtraq.ru/rsn/archive/2002/06/22.html) // 
 15.06.02 15:35
 Ошибка обработки таблиц стилей в IE 5-6
 (http://www.bugtraq.ru/rsn/archive/2002/06/21.html) // 14.06.02 23:35
 Ведущие рассылки: 
 Владислав Мяснянкин, http://cybervlad.port5.com 
 Дмитрий Леонов, http://www.bugtraq.ru 
 
 --- ifmail v.2.15dev5
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Russian Security Newsline 20.06.2002	Dmitry Leonov	20 Jun 2002 02:59:15

Архивное /ru.internet.security/457798ac7533.html, оценка 2 из 5, голосов 10