Исходное сообщение
"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..." Отправлено opennews, 29-Янв-10 17:33
Увидел свет релиз http-сервера Apache 1.3.42 (http://httpd.apache.org/dev/dist/) в котором устранена (http://httpd.apache.org/dev/dist/CHANGES_1.3.42) критическая уязвимость (http://archives.neohapsis.com/archives/fulldisclosure/2010-0...) в mod_proxy, вызванная возможностью совершения целочисленного переполнения в функции "ap_proxy_send_fb(). Успешная эксплуатация может позволить злоумышленнику выполнить свой код на сервере, работающем в режиме прокси. Успешное проведение атаки возможно только на 64-разрядных системах, на которых тип данных "long" превышает по размеру тип "int". Разработчики сообщили о том, что Apache 1.3.42 является последним релизом серии 1.3.x, но в случае обнаружения критических уязвимостей патчи в будущем можно будет загрузить на странице www.apache.org/dist/httpd/patches (http://www.apache.org/dist/httpd/patches/). Пользователям Apache 1.3.x рекомендуется провести переход на версию Apache 2.2.14. Одновременно вышел релиз Apache 2.3.5 (http://http... URL: http://httpd.apache.org/dev/dist/CHANGES_1.3.42 Новость: https://www.opennet.ru/opennews/art.shtml?num=25215