Niezwykła luka w Apache

Richard Thrippleton, użytkownik Debiana, poinformował o niezwykłej luce znalezionej w serwerze Apache.

Pozwala ona zwykłemu użytkownikowi na uzyskanie praw administratora. Okazuje się, że jeśli Apache zostanie uruchomiony ręcznie z poziomu powłoki administratora i powłoka nie zostanie następnie zamknięta, to serwer pozwala na wprowadzanie dowolnych poleceń do powłoki.

Użytkownik, który nie posiada żadnych uprawnień może wprowadzić i wykonać, dzięki odpowiedniemu skryptowi CGI, polecenia na prawach administratora. Błąd występuje tylko w wersji 1.3.34-4 dla dystrybucji Debian. Nie znaleziono go w żadnej innej edycji Apache’a. Luka nie została jeszcze załatana i zanosi się na to, że nieprędko zostanie poprawiona. "Większość deweloperów jest zajęta pilniejszymi sprawami" – mówi Thrippleton. Te "pilniejsze sprawy" to np. próby uruchomienia Debiana na starym kalkulatorze TI-86.

Źródło: ArcaBit

Realizacja: SIPLEX Studio