La mise à jour corrige une faille permettant des attaques par déni de service
Mise à jour du 31/08/11
Apache HTTP Server 2.2.20 est disponible. Cette version corrige la faille de sécurité critique dans le daemon du serveur Web dévoilée la semaine dernière (lire ci-avant). Cette vulnérabilité était massivement exploitée par des pirates avec l’utilitaire « Apache Killer » pour effectuer des attaques par déni de service (DoS).
La faille de sécurité se situait dans la façon dont le serveur Apache traite les requêtes HTTP volumineuses qui se chevauchent. Le traitement de ces requêtes pouvait provoquer une utilisation excessive de mémoire pouvant entraîner le dysfonctionnement du serveur.
Les correctifs de la version 2.2.20 d’Apache HTTP Server permettent donc de réduire la quantité de mémoire qui est utilisée par des requêtes range. Le serveur somme désormais le nombre d’octets de l’ensemble des requêtes range qui se chevauchent, et les compare avec la taille du fichier demandé. Si cette somme dépasse la taille du fichier, le fichier est retourné en entier sans que ces requêtes ne soient traitées.
Les modules écrits pour Apache 2.0 devront être recompilés sans (ou avec très peu de) modifications du code pour fonctionner avec cette version du serveur Web.
Les développeurs de la plateforme recommandent aux administrateurs de procéder dans les plus brefs délais à une mise à jour de leur serveur Apache.
Mise à jour du 31/08/11
Apache HTTP Server 2.2.20 est disponible. Cette version corrige la faille de sécurité critique dans le daemon du serveur Web dévoilée la semaine dernière (lire ci-avant). Cette vulnérabilité était massivement exploitée par des pirates avec l’utilitaire « Apache Killer » pour effectuer des attaques par déni de service (DoS).
La faille de sécurité se situait dans la façon dont le serveur Apache traite les requêtes HTTP volumineuses qui se chevauchent. Le traitement de ces requêtes pouvait provoquer une utilisation excessive de mémoire pouvant entraîner le dysfonctionnement du serveur.
Les correctifs de la version 2.2.20 d’Apache HTTP Server permettent donc de réduire la quantité de mémoire qui est utilisée par des requêtes range. Le serveur somme désormais le nombre d’octets de l’ensemble des requêtes range qui se chevauchent, et les compare avec la taille du fichier demandé. Si cette somme dépasse la taille du fichier, le fichier est retourné en entier sans que ces requêtes ne soient traitées.
Les modules écrits pour Apache 2.0 devront être recompilés sans (ou avec très peu de) modifications du code pour fonctionner avec cette version du serveur Web.
Les développeurs de la plateforme recommandent aux administrateurs de procéder dans les plus brefs délais à une mise à jour de leur serveur Apache.