Ifølge Secunia er det funnet to sårbarheter i webserverprogramvaren Apache.
Den ene sårbarheten kan utnyttes via "mod_dav"-mekanismen (Distributed Authoring and Versioning), men muligens også via andre mekanismer. Utnyttelse kan resultere i et tjenestenekt hos serveren. Ifølge Red Hat Software skal sårbarheten potensielt også muliggjøre eksekvering av vilkårlig kode med webtjenestens rettigheter. Sikkerhetshullet finnes i alle utgaver av Apache med versjonsnummer fra og med 2.0.37 til og med 2.0.45.
Les også:
- [01.07.2003] Ordinær kvalitet på Apache-kode
- [03.04.2003] DoS-fare for Apache
Ytterligere informasjon om dette sikkerhetshullet vil først frigis av Apache Software Foundation den 30. mai.
Det andre sikkerhetshullet skyldes ifølge Secunia en feil i "Basic Authentication"-funksjonaliteten og er kun gjeldende i versjonene 2.0.40 til og med 2.0.45 på Unix-plattformene. Hullet kan utnyttes for å skapet en tjenestenektsituasjon, noe som kan få "Basic Authentication" til å feile og ikke komme i gang igjen før webtjenesten startes på nytt.
Utnyttelse forutsetter dog at det benyttes MPM (Multi-Processing Modules) med flere tråder.
For å tette sikkerhetshullene må alle med de gjeldene utgavene oppdatere til versjon 2.0.46 av Apache.
Mer informasjon om sikkerhetshullene finnes på denne siden.
Apache er verdens mest brukte webserverprogramvare.
