Intro('VÜem administrßtor∙m se doporuΦuje co nejrychlejÜφ aplikovßnφ zßplaty, celou v∞c navφc provßzφ neÜ¥astnß forma zve°ejn∞nφ a nefunkΦnφ patch od ISS. Na existenci exploitu sice jeÜt∞ nikdo neupozornil, ale varovßnφ se hrnou ze vÜech stran.');
V ISS (Internet Security Systems) X-Force objevili v pond∞lφ zßva₧nou chybu v populßrnφm webovΘm serveru Apache, jejφ₧ zneu₧itφ m∙₧e vΘst a₧ ke spuÜt∞nφ cizφho k≤du na cφlovΘm poΦφtaΦi Φi k denial of service ·toku. ZjiÜt∞nφ nab²vß na d∙le₧itosti dφky obrovskΘ popularit∞ tohoto open source produktu, kter² se, mimo unixovΘ systΘmy, aktivn∞ pou₧φvß i na serverech b∞₧φcφch na Windows, pop°. jako souΦßst n∞kter²ch dalÜφch softwarov²ch produkt∙ (Oracle 9ias, IBM Websphere...).
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Od tΘ doby b∞₧φ vÜem administrßtor∙m Φas na zazßpatovßnφ svΘho systΘmu a pravd∞podobn∞ majφ ji₧ jen pßr dnφ, nebo¥ riziko, ₧e se konkrΘtnφ exploit (zneu₧itφ) zaΦne Üφ°it internetem, je znaΦnΘ. Mark Cox, zaklßdajφcφ Φlen Apache Software Foundation na <a href=../www.vnunet.com/News/1132795>VNUnetu</a> varuje : "Musφme p°edpoklßdat, ₧e inteligentnφ hacke°i, kte°φ svoji Φinnost berou skuteΦn∞ vß₧n∞, vyvinou exploit, kter² tuto chybu zneu₧φvß, b∞hem n∞kolika dnφ. Ten se nßsledn∞ dostane ke "script kiddies" b∞hem velmi krßtkΘ chvilky. Nikdo by nem∞l jen tak sed∞t a doufat, ₧e se nalezenß chyba nedß zneu₧φt."
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
"V dosavadnφm v²voji °ady 1.3, kterß je starß minimßln∞ Φty°i roky, je to na Apachi jist∞ prvnφ vzdßlen∞ zneu₧iteln² exploit. Ud∞lali jsme pro bezpeΦnost vÜe co se dalo, p°esto se ale chyby stßvajφ.", podotkl.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Jak se zdß, o zßvß₧nosti nenφ pochyb. Pokud vßÜ Apache b∞₧φ na Windows, mßte problΘm stejn², ale pod Unixy ·dajn∞ hrozφ nebezpeΦφ nejv∞tÜφ, p°esto₧e na 64bitov²ch instalacφch mo₧nost zneu₧itφ zßle₧φ na konkrΘtnφm systΘmu. SpuÜt∞nφ ·toΦnφkova k≤du je vÜak dle zdorj∙ ve vÜech p°φpadech mo₧nΘ (viz dßle).
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Nßlepku "stavu nouze" celΘ situaci dodßvß i zp∙sob, jak²m bylo objevenφ chyby prezentovßno. Jako prvnφ se toti₧ objevilo v konferenci bugtraq a v²vojov² t²m tak nem∞l dostatek Φasu na v²voj patche. Na linuxsecurity.com pφÜφ, ₧e se v ISS domnφvali, nenφ nutnΘ nikoho varovat, prßv∞ z toho d∙vodu, ₧e je produkt open source. To mi p°ipadß trochu p°ita₧enΘ za vlasy. DalÜφ chybn² krok ISS bylo vydßnφ vlastnφho patche. A¥ ji₧ tφm sledovali jak²koliv cφl, jistΘ je jedno : patch nenφ dostaΦujφcφ, Φi chcete-li, nefunguje. U Apach∙ k tomu vydali oficißlnφ stanovisko na adrese <a href=../httpd.apache.org/info/security_bulletin_20020617.txt> http://httpd.apache.org/info/security_bulletin_20020617.txt</a>.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
K v∞ci se takΘ vyjßd°il <a href=../www.cert.org/default.htm>CERT</a> (Computer Emergency Response Team), v jeho₧ <a href=../online.securityfocus.com/archive/1/277411/2002-06-15/2002-06-21/0>zprßv∞</a> najdete podrobnΘ informace produktech, kter²ch se problΘm t²kß. Jsou to p°edevÜφm verze Apache od 1.3 do 1.3.24 vΦetn∞ a od 2.0 do 2.0.36 vΦetn∞, jak na Unixov²ch tak na Windows platformßch.
</DIV></FONT></b></i>
</DIV>
<SCRIPT>
TextEnd('')
</SCRIPT><SCRIPT>
Source();
</SCRIPT><OL Class=None Type=Disc></OL><SCRIPT>
nie('<br>');AdditionalTablesBegin();
CommentsBegin('Apache: vß₧n∞jÜφ, ne₧ se Φekalo',0);
