Информационные технологииStfw.Ru 🔍
🕛

В Apache mod_rewrite обнаружена уязвимость

Уязвимость позволяет злоумышленнику выполнить произвольную команду в момент просмотра лог-файла администратором сервера.Уязвимость позволяет злоумышленнику выполнить произвольную команду в м
Уязвимость позволяет злоумышленнику выполнить произвольную команду в момент просмотра лог-файла администратором сервера.


В модуле mod_rewrite HTTP-сервера Apache серии 2.2.x была обнаружена уязвимость (CVE-2013-1862), которая позволяет злоумышленнику выполнить произвольную команду в момент просмотра лог-файла администратором сервера.

Посредством специально сформированных запросов к web-серверу злоумышленник может записать в лог-файл, к примеру, системные конмады, так как mod_rewrite при записи в лог-файл не экранирует специальные символы. Правильное манипулирование последовательностями позволяет запускать произвольные команды с правами пользователя, осуществляющего просмотр журнала (как правило, подобные лог-файлы доступны для чтения только пользователю root).

Для исправления уязвимости доступен патч. Разработчики RHEL и CentOS исправили существующую проблему в своих продуктах. В Debian знают о существующей уязвимости, но не рассматривают ее, как серьезную угрозу. Разработчики Gentoo пока не исправили брешь.

Также по теме:
Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.