image

Apache 1.3.24 gereleased

maandag 25 maart 2002, 21:35 door Redactie, 1 reacties

The Apache Software Foundation maakte vandaag de release van Apache 1.3.24 bekend. Belangrijkste reden is de vondst van een beveiligingslek in de Windows versie van Apache. Systeembeheerders van Win32 systemen met Apache wordt derhalve dringend aangeraden te upgraden.

Reacties (1)
26-03-2002, 08:18 door Anoniem
Via ApacheWeek 22 mar 2002:
Win32 remote command execution

Yesterday, Sanctum inc. released a security advisory about a vulnerability in Apache for Win32 platforms. They found that remote commands can be executed during the processing of batch files.

Although they class this as a high risk, it should be noted that the vulnerability only affects the default installation of Apache 2.0 alpha and beta releases because they ship with an example batch file. Exploitation of this vulnerability on Apache 1.3 for Win32 requires that the administrator has set up '.bat' or '.cmd' batch file scripts.

The problem occurs because the input is not properly validated. It is possible to append commands as parameters to the batch file CGI script and have the shell interpreter execute them.

The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name CAN-2002-0061 to this issue.

Een admin die .CMD's en .BAT's heeft staan is al een beveiligingslek op zichzelf..

En als je GEEN 2.0 alpha (win32) hebt, niet zoveel aan de hand..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.