Faille critique dans Apache

Une vulnérabilité grave affecte de nombreux serveurs Web, les exposant à des attaques par déni de service. Des solutions provisoires sont disponibles.

Une attaque baptisée "Apache Killer" exploitant une vulnérabilité Apache a été publiée sur Full Disclosure. La faille, déjà découverte il y a plusieurs années. Elle n'avait jusqu'alors pas été exploitée. 

En envoyant certaines requêtes à un serveur exécutant les versions 1.3 et 2 d'Apache, un attaquant peut ainsi satturer la mémoire du système visé, et ainsi causer une attaque par déni de service.

Les développeurs d'Apache ont assuré publier une mise à jour corrective dans les prochaines 96 heures, dans un message contenant plusieurs solutions pour combler la faille Apache.

Environ 235 millions de sites Web utilisent Apache, ce qui en fait le serveur Web le plus utilisé, selon les chiffres publiés le mois dernier par Netcraft. Un porte-parole de Microsoft a affirmé que les versions 6.0 et ultérieures du serveur Web de l'éditeur américain (ISS) n'étaient pas exposées à des attaques par déni de services basées sur la même vulnérabilité.

Serveurs / Pirate