La società di Sicurezza ISS ( internet Security System ) ha reso pubblica una vulnerabilità che riguarda uno dei più popolari Server Web Open Source: Apache. Si tratta di una falla che interessa le versioni comprese fra la 1.3 e la 1.3.24 e fra la 2.0 e la 2.0.36. La vulnerabilità risiede nel codice che gestisce alcune richieste HTTP e che, nel caso di Apache 1.3.x, possono consentire a un aggressore di eseguire del codice a sua scelta sul server vittima. Il problema sembra meno grave in Apache 2.x dove un aggressore sfruttando la falla può lanciare attacchi di tipo DoS ma non penetrare nel Server.
In attesa di completare lo sviluppo di Patches, l'Apache Foundation ha già rilasciato 2 nuove versioni che correggono il problema, la 1.3.25 e la 2.0.39.
Ecco gli indirizzi:
http://www.apache.org/dist/httpd/apache_1.3.26.tar.gz
( Signature: http://www.apache.org/dist/httpd/apache ... tar.gz.asc )
http://www.apache.org/dist/httpd/httpd-2.0.39.tar.gz
( Signature: http://www.apache.org/dist/httpd/httpd-2.0.39.tar.Z.asc )
