Apache近期發布了2.2.6的dev版,供大家測試。
其主要的改進包括:
修正了mod_proxy沖突的缺陷。遠程攻擊者可能會向配置了逆向代理的站點發送一個精心設計的請求,它將導致Apache的子進程處理該請求時發生沖突。同樣,配置了順向代理的站點也會產生類似的問題。如果使用多線程處理,可能會導致服務被拒絕。
修正了跨站點腳本mod_status的缺陷。服務器狀態頁不應該被訪問,這會帶來跨站點的腳本攻擊。
修正了導致任意進程的信號問題,本地的攻擊者可能會操縱服務器,從而導致任意進程的終止,也會引起服務被拒絕。
修正了mod_cache信息洩露的問題。Apache2.2.4的mod_cache中的recall_headers函數不能完全復制所有級別的頭文件數據。這將會導致Apache返回頭文件裡包含的先前使用過的數據,遠程攻擊者可能利用它來獲得潛在的機密信息。
修正了mod_cache模塊中的一個BUG。當網站開啟了緩存時,遠程攻擊者可能發送一個精心設計的請求,將導致Apache的子進程處理這個請求時發生沖突。同樣訪問會被拒絕。
原文地址