Apache Software Foundation opublikowała nową wesję serwera Apache - 2.2.15. Poprawiono w niej kilka istotnych luk związanych z bezpieczeństwem, w tym lukę w module mod_isapi (Internet Service API - moduł pozwalający na uruchamianie na Apache aplikacji napisanych z myślą o IIS Microsoft'u), a także luki w modułach mod_proxy_ajp i MPM (Multi Processing Module).

Od wersji 2.2.15 serwer posiada ponownie wsparcie TLS dla klientów, którzy nie obsługują jeszcze Renegotiation Indication Extension. Wymaga to skompilowania Apache z dodatkową biblioteką OpenSSL w wersji 0.9.8m,w któej zaimplementowano już TLS RIE.

Zalecana jest jak najszybsza aktualizacja serwera do najnowszej wersji.

Żródło:
http://www.heise-online.pl/newsticker/news...iur-949957.html

Zmiany oraz poprawki błędów w wersji 2.2.15:
http://httpd.apache.org/
http://apache.linux-mirror.org/httpd/CHANGES_2.2.15

Informacje na temat luki w module mod_isapi (dla wersji 2.2.14):
http://www.senseofsecurity.com.au/advisories/SOS-10-002

Przykładowy exploit wykorzystujący lukę w module mod_isapi:
http://www.senseofsecurity.com.au/advisori...2-pwn-isapi.cpp

Informacje na temat TLS Renegotiation Indication Extension:
http://www.heise-online.pl/networks/rfc/rfcs/rfc5746.shtml

OpenSSL 0.9.8m:
http://www.openssl.org/news/announce.html