Apache

Megjelent az Apache 2.0.53-as verziója. A kiadás elsősorban bugfixeket tartalmaz, a frissítést mindenkinek ajánlják.

Egészen véletlenül bukkantam erre az Apache modulra, s mivel a neve hangzatosnak ígérkezett, belenéztem. A kód írója nem kevesebbet ígér a README-ben, hogy védelemet tud nyújtani az Apache 1.3/2.0 és iPlanet webszerverek ellen irányuló kis-közepes lekérdezés-bázisú (request-based) DoS / DDoS vagy script/brute force támadásokkal szemben. Lássuk hogy is működik.Megérkezik a kérelem (http request).

• Megnézi, hogy a kliens IP címe szerepel-e egy átmeneti feketelistán.
• A kliens IP címéből és a lekért URI-ból egy hash key-t képez, majd megvizsgálja, hogy ezt a hash-t tartalmazza-e egy belső key-táblázat. Ha talál egyezést, az azt jelenti, hogy többször lekérdezték az oldalt egy másodpercen belül.
• A kliens IP címéből egy kulcsot készít, összeveti egy belső táblázatban található adatokkal, így kiderül, hogy erről a címről érkezett-e az elmúlt egy másodpercben több, mint ötven objektum lekérdezés.

Ha a fenti három feltétel közül bármelyik teljesül, 403-as HTTP kódot kap vissza a lekérdező, ezzel sávszélességet és erőforrást megtakarítva. Lehetőség van triggerek használatára, vagyis egy ilyen esemény bekövetkeztekor lehet pl. emailt küldetni vagy külső paracsot futtatni.

Úgy tűnik, hogy az Apache Software Foundation egyes tagjai mérgesek a PHP közösségre, mert azok nem ajánlják az Apache 2-t a PHP-hoz való használatra. Ez komolyan érinti az Apache Alapítványt, mert (állítólag) az Apache szerverek felén fut PHP (is). Több illusztris PHP közösségi tag - köztük John Coggeshall és Chris Shiflett - is kifejtette a véleményét blogjában azután, hogy az Apache Software Foundation tag Rich Bowen egy mostani levelében az állította a PHP-sek álláspontjáról, hogy FUD.

Bővebben itt.

A múlt heti kiadás után nem sokkal megjelent az Apache webszerver 1.3-as sorozatának legújabb tagja.

Megjelent az Apache 1.3.32 verziója, amely egy biztonsági hibát javít.

Megjelent az Apache webszerver 2-es sorozatának következő elsősorban hibajavításokat tartalmazó verziója. Változások közt szerepel ezen hiba javítása is (CAN-2004-0811).

Teljes bejelentés megtekinthető: itt

Változások listája (2.0.51-hez képest): itt

Letölthető: innen

Megjelent az Apache 2.0.51-es verziója. A kiadás elsősorban bugfixeket tartalmaz, konkrétan öt fontosabb biztonsági hibát is javítottak benne:* An input validation issue in IPv6 literal address parsing which can result in a negative length parameter being passed to memcpy. (CAN-2004-0786)

* A buffer overflow in configuration file parsing could allow a local user to gain the privileges of a httpd child if the server can be forced to parse a carefully crafted .htaccess file. (CAN-2004-0747)

* A segfault in mod_ssl which can be triggered by a malicious remote server, if proxying to SSL servers has been configured. (CAN-2004-0751)

* A potential infinite loop in mod_ssl which could be triggered given particular timing of a connection abort. (CAN-2004-0748)

* A segfault in mod_dav_fs which can be remotely triggered by an indirect lock refresh request. (CAN-2004-0809)

A frissítés ajánlott!

Bejelentés itt, letöltés itt.

A Linux.com-on olvasható egy cikk, amelyben Mike Peters korábbi irományát folytatja, és tovább boncolhatja az Apache biztonsági kérdéseit.

Megjelent az Apache 2.0.50-es verziója. Ez a verzió hibajavító verzió, így újdonságokat nem ad, ellenben két biztonsági hibát is javít. A frissítés ajánlott.Az egyik hiba egy távolról kiváltható memória rés előidézésének lehetőségét javítja a HTTP fejléc feldolgozóban, mely segítségével nagy memóriafogyasztást, így a szerver bénulását lehetett előidézni. (CAN-2004-0493)

A másik hiba a mod_ssl modul bufferkezelésén javít, melyben egy túlcsordulási hibalehetőség volt, a FakeBasicAuth kódban. (CAN-2004-0488)

Hivatalos bejelentés (és további információk): Apache HTTP Server 2.0.50

Az Apache Szoftver Alapítvány (Apache Software Foundation - ASF) bejelentette: az Apache Geronimo projectek elfogadták, mint az ASF hivatalos projektjét.