新的Apache服务器修复了三个漏洞,两个严重等级为低,一个为中等,另外修复了一系列其他的bug。此次修复所做的变更通知单已经发布,而且新版本的Apache服务器已经可以在很多镜像下载到。
等级为低的两个漏洞均发现在mod_proxy_ftp模块。其中一个漏洞是由空指针的错误引用导致的,一个恶意的代理服务器可以通过EPSV或者 PASV指令的异常应用,从而通过该漏洞挂掉一个子进程,造成一个受限的拒绝服务攻击。另外一个漏洞则是:在一个反向代理配置中,一个远程的攻击者可以使 用该缺陷绕开拟访问的限制,攻击者先是创造一个精心推敲的授权HTTP头,然后就能肆意发送指令给FTP服务器。
等级为中的漏洞发现在APR模块,该bug是一个错误的故障处理从而导致影响到了Solaris pollset支持(Event Port backend)。Solaris服务器若是使用了prefork或者event MPMs,远程攻击者就可以通过触发该事件导致一个拒绝服务攻击。