Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en teknisk skribent, en it-säkerhetsspecialist och en övningskoordinator till CERT-SE, alla centrala roller i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 29 maj, 31 maj respektive den 5 juni.

Publicerad - Sårbarhet, Apache, webbserver

SR10-038 Apache - Flertalet sårbarheter i Apache

Sårbarheten i mod_isapi kan leda till exekvering av godtycklig kod.

Problembeskrivning

CVE-referens: CVE-2010-0425,CVE-2010-0434,CVE-2010-0408,CVE-2009-3555

Ett flertal sårbarheter har upptäckts i Apache HTTP Server, vilka har åtgärdats i version 2.2.15. Det allvarligaste säkerhetshålet finns i modulen mod_isapi, som implementerar Internet Server extension API på Windows-plattformen. Genom att skicka ett riggat HTTP-anrop kan modulen laddas ur minnet men med hängande pekare vilka kan utnyttjas för att exekvera godtycklig kod.

Den nya versionen rättar även två sårbarheter i mod_ssl ("TLS renegotiation") samt en i mod_proxy_ajp.

Sårbarheterna upptäcktes av Brett Gervasoni (Sense of Security Labs), Joe Orton, Ruediger Pluem, Hartmut Keil, Niku Toivola, Philip Pickett, samt Jeff Trawick.

Påverkade versioner

  • Apache HTTP Server 2.2.14 eller tidigare

Mer information och programrättningar

http://www.apache.org/dist/httpd/CHANGES_2.2.15
http://www.senseofsecurity.com.au/advisories/SOS-10-002
http://www.securityfocus.com/bid/38494
http://www.securityfocus.com/bid/38580