丹麦公布网络服务器Apache的SSL模块发现安全漏洞
发布时间: 2009-09-23 丨 阅读次数: 14269
丹麦某公司于近日日宣布,网络服务器“Apache”使用的SSL/TLS模块“mod_ss 2.x”存在安全漏洞,有可能造成在远程任意运行程序的危险。解决办法就是升级到最新版的“mod_ssl 2.8.19-1.3.31”。
发布mod_ssl的“mod_ssl Project”已经于7月16日公布了最新版本2.8.19-1.3.31。在描述新版本变化内容的表述中提到了“Security fix”,但没有公布安全漏洞的详细情况。
美国US-CERT也于当地时间7月19日公布了关于上述安全漏洞的信息。根据Secunia与US-CERT透露的信息,此次发现的安全漏洞是由mod_ssl上使用的“ssl_log()”函数造成的。ssl_log()中存在一个名为“format string vulnerability(格式文字脆弱性)的安全漏洞。因此,如果发送做了手脚的数据,就有可能在网络服务器上随意运行程序。
解决办法就是升级到已经修补了安全漏洞的mod_ssl 2.8.19-1.3.31。也可以打上OS厂家等公布的补丁。但从US-CERT透露的信息来看,除mod_ssl Project以外似乎还没有出现其他的补丁程序或修正版本(截至7月20日)。
发布mod_ssl的“mod_ssl Project”已经于7月16日公布了最新版本2.8.19-1.3.31。在描述新版本变化内容的表述中提到了“Security fix”,但没有公布安全漏洞的详细情况。
美国US-CERT也于当地时间7月19日公布了关于上述安全漏洞的信息。根据Secunia与US-CERT透露的信息,此次发现的安全漏洞是由mod_ssl上使用的“ssl_log()”函数造成的。ssl_log()中存在一个名为“format string vulnerability(格式文字脆弱性)的安全漏洞。因此,如果发送做了手脚的数据,就有可能在网络服务器上随意运行程序。
解决办法就是升级到已经修补了安全漏洞的mod_ssl 2.8.19-1.3.31。也可以打上OS厂家等公布的补丁。但从US-CERT透露的信息来看,除mod_ssl Project以外似乎还没有出现其他的补丁程序或修正版本(截至7月20日)。