Apache HTTP Server Worker进程多个本地服务漏洞
受影响系统:
Apache Group Apache 2.2.4
Apache Group Apache 2.0.59
Apache Group Apache 1.3.37
描述:
Apache HTTP Server是一款流行的Web服务器。
Apache HTTP Server Worker进程实现上存在多个漏洞,本地安全者可能利用这些漏洞导致服务不可用。
在发送信号之前Apache HTTP Server没有验证进程为Apache子进程。能够在Apache HTTP Server上运行脚本的本地安全者可以控制记分板并终止任意进程,导致拒绝服务。
如果Apache httpd安装了Prefork MPM模块的话,本地安全者就可以修改worker_score和process_score数组使其引用任意进程ID,主进程向其发送了SIGUSR1信号的话就会导致拒绝服务。
厂商补丁:
Apache Group
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://svn.apache.org/viewvc?view=rev&revision=547987
RedHat
RedHat已经为此发布了一个安全公告(RHSA-2007:0662-01)以及相应补丁:
RHSA-2007:0662-01:Moderate: httpd security update
链接:https://www.redhat.com/support/errata/RHSA-2007-0662.html
SGI
SGI已经为此发布了一个安全公告(20070701-01-P)以及相应补丁:
20070701-01-P:SGI Advanced Linux Environment 3 Security Update #78
链接:ftp://patches.sgi.com/support/free/security/advisories/20070701-01-P.asc
