Apache服务器发现严重安全问题

      

　计算机世界网消息 6月17日，Apache软件基金会在一份安全公告中指出，目前比较流行的Apache Web服务器中存有一个安全缺陷，这一缺陷可以导致怀有恶意的攻击者进行“服务拒绝”(DoS)攻击，甚至于控制软件所运行的系统。

　　这一安全缺陷与Web服务器解析上传数据的方式有关，它可以导致软件错误地计算大量传入服务器中的数据大小。据Apache软件基金会介绍，通过向服务器发送一个精心设计过的请求，攻击者就可以利用这一缺陷。受上述安全缺陷影响的Apache Web服务器软件包括Apache 1.3的所有版本以及Apache 2到2.0.36的版本。

　　Apache软件基金会提出警告说，如果攻击者成功利用了上述缺陷，那么就可以进行“服务拒绝”攻击，使得被攻击的服务器无法访问。在某些情况下，攻击者也可能在服务器上运行一些自己选择的代码。

　　亚特兰大的安全软件供货商Inte.net安全系统有限公司(ISS)也在同一天发布公告说，在微软Windows 2000或Windows 2000 Server系统上使用Apache 1.x的用户很容易遭受上述攻击，而且攻击者一旦选定了这些攻击目标，就可能控制整个服务器。据ISS介绍，上述安全漏洞与微软公司上周公布的Internet信息服务器(IIS)中的一个缺陷类似，ISS在一份电子邮件中把这一安全漏洞定为“重大”缺陷。

　　根据英国Netcraft公司的统计，目前有64%以上的Web站点使用的是Apache Web服务器。据悉，Apache软件基金会目前正在开发新版本的Apache软件，以修复上述安全漏洞。

目前，Apache.org已经提供了Apache 2.0.39和1.3.26以修复上述问题。FreeBSD也已经提供了相应的Ports。

原文转自：http://www.ltesting.net