Разработчики популярного HTTP-сервера Apache представили новую версию своего продукта - 2.2.18, в которой кроме минорых улучшений, а также изменения алгоритма по умолчанию для htpasswd на MD5, была исправлена серьезная угроза безопасности, приводившая к отказу в обслуживании (DoS).
Баг скрывался в библиотеке Apache Portable Runtime, конкретнее - в функции apr_fnmatch(), в которой могло быть запущено рекурсивное сравнение строк, что приводило к сильной загрузке процессора и потреблению оперативной памяти. Поэтому данная атака быстрее реализуется в системах с активированным mod_autoindex для индексирования каталогов, особенно если в них имеются файлы с длинными именами.
Если вы не можете обновить у себя версию сервера, то предлагается задействовать опцию "IgnoreClient" внутри "IndexOptions", что предотвратит обработку полученных от клиента аргументов и нейтрализует действие атаки.
Apache Portable Runtime является прикладной библиотекой, реализующей удобный интерфейс к взаимодействию с различными операционными системами. Из-за этого APR широко используется в других проектах Apache, а также во многих сторонних разработках. Поэтому указанная уязвимость распространяется не только на Apache HTTP Server, но и на совершенно другие приложения. Если вы как разработчик используете APR, то вам необходимо обновить версию библиотеки до 1.4.4.
От классики до авангарда — наука во всех жанрах