Доступен (http://www.apache.org/dist/httpd/) корректирующий релиз http-сервера Apache 2.2.22 (http://httpd.apache.org) в котором устранено 6 уязвимостей и исправлено 9 ошибок. Исправленные уязвимости:
- В mod_setenvif устранена уязвимость, позволяющая локальному пользователю повысить свои привилегии в системе через создание специально скомпонованного содержимого директивы SetEnvIf в файле .htaccess в сочетании с отправкой определённым образом оформленного запроса. В качестве обходного пути для защиты можно отключить разбор файлов .htaccess через директивы "AllowOverride None" или не загружать модуль mod_setenvif;
- В mod_log_config устранена уязвимость, позволяющая удалённо инициировать крах управляющего процесса httpd через отправку определённым образом сформированного блока Cookies, в ситуации, если на сервере используется опция форматирования %{cookiename}C' при выводе в лог;
- Устранён (http://www.opennet.dev/opennews/art.shtml?num=32392) обходной путь совершения а...
URL: http://www.apache.org/dist/httpd/CHANGES_2.2.22
Новость: http://www.opennet.dev/opennews/art.shtml?num=32943