'아파치'에 해당되는 글 15건

  1. 2014.10.13 Apache HTTP Server 서비스 거부 취약점
  2. 2014.03.19 Apache HTTP Server 서비스 거부 공격 취약점 업데이트
  3. 2011.09.13 Apache 웹서버 서비스 거부 취약점 보안업데이트
2014.10.13 09:34

Apache HTTP Server 서비스 거부 취약점


아파치 소프트웨어 재단의 Apache HTTP Server에 영향을 주는 서비스 거부 취약점 발표[1]개요

  • 공격자는 HTTP 헤더를 특수하게 조작해 취약한 시스템에 요청할 경우, 서비스 거부를 유발시킬 수 있으므로 사용자의 주의가 요구됨


설명

  • HTTP 헤더의 ‘Content-Type’ 항목 값을 변조해 서비스 거부를 일으킬 수 있는 취약점(CVE-2014-3581)
  • modules/cache/cache_util.c의 cache_merge_headers_out 함수에서 부적절한 코드로 인한 서비스 거부 취약점 발생


해당 시스템

  • 영향 받는 소프트웨어
  • Apache HTTP 서버 2.4.10 및 이전 버전


해결방안

  • Apache HTTP 서버 2.4.10 및 이전 버전 사용자
  • Apache 소스코드 중 cache_util.c를 다운받아 컴파일 후 사용[2]


용어 정리

  • Apache HTTP Server : 아파치 소프트웨어 재단에서 개발한 웹 서버


기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트]
[1] http://secunia.com/advisories/61539/
[2] http://svn.apache.org/viewvc?view=revision&revision=1627749


Trackback 0 Comment 0
2014.03.19 18:53

Apache HTTP Server 서비스 거부 공격 취약점 업데이트


개요

  • 아파치 소프트웨어 재단은 Apache HTTP Server에 영향을 주는 서비스 거부 취약점을 해결한 보안 업데이트를 발표[1][2]
  • 공격자가 특수하게 조작한 요청을 취약한 시스템에 전송할 경우, 서비스 거부를 유발 시킬 수 있음
  • 취약한 버전을 사용하고 있을 경우, 서비스 거부 공격의 피해를 입을 수 있으므로 서버 관리자의 적극적인 조치 필요


해당 시스템

  • 영향을 받는 소프트웨어
    • Apache HTTP Server 2.4.8 및 이전버전


해결 방안

  • Apache HTTP Server 2.4.8 및 이전 버전을 운용하고 있는 웹서버 관리자는 2.4.9 버전으로 업그레이드


용어 정리

  • Apache HTTP Server : 아파치 소프트웨어 재단에서 개발한 웹 서버


기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트] 
[1] http://www.apache.org/dist/httpd/Announcement2.4.txt
[2] http://httpd.apache.org/download.cgi#apache24


Trackback 0 Comment 0
2011.09.13 23:18

Apache 웹서버 서비스 거부 취약점 보안업데이트

□ 개요
   o Apache웹서버에 원격 서비스거부(Denial of Service) 공격 가능한 신규 취약점이 발견됨 [1]
   o 공격자는 특수하게 조작된 HTTP패킷을 전송하여 아파치 서비스가 동작중인 서버의 메모리를
      고갈시킬 수 있음
   o 해당 취약점 정보 및 공격 도구가 공개 배포됨에 따라 피해를 입을 수 있으므로 웹서버관리자의
      적극적인 조치 필요

□ 해당 시스템
   o 영향 받는 소프트웨어 [1]
     - Apache 1.3.x 및 이전 버전
     - Apache 2.2.19 및 이전 버전
      ※ 자세한 버전은 참고사이트 참조

□ 해결방안
   o 취약한 버전을 운용하고있는 웹서버 관리자는 Apache 2.2.20버전으로 업데이트[2]
     ※ Apache 1.3버전의 경우 업데이트 지원이 중단되었으므로, 해당 버전 운용자는2.2.20버전으로
         업그레이드 권고

□ 용어 정리
   o Apache : WWW(World Wide Web)서버 소프트웨어

□ 기타 문의사항
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192
[2] http://httpd.apache.org/download.cgi


출처 : 인터넷침해대응센터


Apache HTTP Server 2.2.21 Released

The Apache Software Foundation and the Apache HTTP Server Project are
pleased to announce the release of version 2.2.21 of the Apache HTTP
Server ("Apache"). This version of Apache is principally a security
and bug fix release:

* SECURITY: CVE-2011-3348 (cve.mitre.org)
mod_proxy_ajp when combined with mod_proxy_balancer: Prevents
unrecognized HTTP methods from marking ajp: balancer members
in an error state, avoiding denial of service.

* SECURITY: CVE-2011-3192 (cve.mitre.org)
core: Further fixes to the handling of byte-range requests to use
less memory, to avoid denial of service. This patch includes fixes
to the patch introduced in release 2.2.20 for protocol compliance,
as well as the MaxRanges directive.

Note the further advisories on the state of CVE-2011-3192 will no longer
be broadcast, but will be kept up to date at;

http://httpd.apache.org/security/CVE-2011-3192.txt

We consider this release to be the best version of Apache available, and
encourage users of all prior versions to upgrade.

Apache HTTP Server 2.2.21 is available for download from:

http://httpd.apache.org/download.cgi

Please see the CHANGES_2.2 file, linked from the download page, for a
full list of changes. A condensed list, CHANGES_2.2.21 provides the
complete list of changes since 2.2.19. A summary of all of the security
vulnerabilities addressed in this and earlier releases is available:

http://httpd.apache.org/security/vulnerabilities_22.html

This release includes the Apache Portable Runtime (APR) version 1.4.5
and APR Utility Library (APR-util) version 1.3.12, bundled with the tar
and zip distributions. The APR libraries libapr and libaprutil (and
on Win32, libapriconv version 1.2.1) must all be updated to ensure
binary compatibility and address many known security and platform bugs.

Apache 2.2 offers numerous enhancements, improvements, and performance
boosts over the 2.0 codebase. For an overview of new features
introduced since 2.0 please see:

http://httpd.apache.org/docs/2.2/new_features_2_2.html

This release builds on and extends the Apache 2.0 API. Modules written
for Apache 2.0 will need to be recompiled in order to run with Apache
2.2, and require minimal or no source code changes.

http://svn.apache.org/repos/asf/httpd/httpd/branches/2.2.x/VERSIONING

When upgrading or installing this version of Apache, please bear in mind
that if you intend to use Apache with one of the threaded MPMs (other
than the Prefork MPM), you must ensure that any modules you will be
using (and the libraries they depend on) are thread-safe.

Trackback 0 Comment 0