شماره: IRCNE2011091237
تاريخ: 12/6/90
گروه متن باز Apache، نرم افزار وب سرور خود را براي ترميم يك حفره كه توسط يك ابزار انكار سرويس مورد سوء استفاده قرار گرفته بود، اصلاح كرد.
Apache 2.2.20 كه روز سه شنبه عرضه شد، حفره مورد استفاده توسط Apache Killer را مسدود ميكند. Apache Killer ابزار حمله اي است كه هكرها بيش از يك هفته براي از كار انداختن وب سرورها از آن استفاده كرده اند.
در روز 24 آگوست، گروه توسعه دهندگان Apache قول دادند كه اين مشكل را ظرف 48 ساعت اصلاح نمايند و دو روز بعد، زمان خود را 24 ساعت تمديد كردند. اين گروه در راهنمايي امنيتي خود در مورد اين تاخير هيچ توضيحي نداده است. اين گروه پيش از اين راههايي را براي محافظت از سيستمها تا پيش از ارائه اصلاحيه به مديران وب سرورها توصيه كرده بود.
راهنمايي روز سه شنبه Apache تاكيد ميكند كه اين، بهترين نسخه Apache است و به تمامي كاربران نسخه هاي پيشين توصيه ميكند كه نرم افزار خود را به روز نمايند.
اگرچه اين آسيب پذيري انكار سرويس در Apache 1.3 نيز وجود دارد، اما پروژه Apache متن باز ديگر اين نسخه را پشتيباني نميكند.
بنا بر يك به روز رساني براي راهنمايي امنيتي اصلي كه هفته گذشته توسط Apache منتشر شد، اين ترميم حجم حافظه مورد استفاده توسط درخواستهاي HTTP را كاهش داده و درخواستهايي را كه به نظر مشكل دار هستند ساده كرده يا حذف ميكند.
علي رغم اينكه اين به روز رساني، آسيب پذيري مورد سوء استفاده Apache Killer را اصلاح كرده است، اما Apache اظهار داشت كه بخشي از مشكل در خود پروتكل HTTP نهفته است. به گفته Apache، اين مشكلي براي تمامي وب سرورها بوده و در حال حاضر، موضوع يك بحث IETF براي تغيير پروتكل است.
به گزارش آمارهاي Netcraft، حدود 65.2 درصد از تمامي وب سرورهاي مورد استفاده در دنيا از Apache استفاده ميكنند.
مطالب مرتبط:
انتشار يك ابزار حمله به سرورهاي Apache
- 2