Oracle heeft eind vorige week onverwacht een beveiligingsupdate uitgegeven voor zijn Fusion-middleware en Application Server-producten. De patch bevat een geüpdatete versie van de Apache-webserver, die vatbaar bleek voor een dos-aanval.
Eind augustus bracht de Apache Software Foundation versie 2.2.20 van zijn webserversoftware al uit om een eerder die maand ontdekt lek te dichten. De kwetsbaarheid kwam zowel voor in de 1.3.x- als in de 2.x-versies van Apaches httpd-server en betrof de manier waarop de software overlappende byte ranges in http-requests afhandelt. Enkele dagen later werd versie 2.2.21 uitgegeven, die ook aan het lek gerelateerd was.
Door de bug zou een webserver met een denial of service-aanval onderuit gehaald kunnen worden. Op de Apache-mailinglist werd het proof-of-concept-script Apache Killer gepubliceerd. De kwetsbaarheid in de serversoftware zou al actief misbruikt worden voor dos-aanvallen.
Ook Oracle waarschuwde bij zijn beveiligingsupdate voor de risico's en bevestigde dat het lek actief wordt misbruikt. De softwarefabrikant heeft besloten de update tussentijds te publiceren en niet te wachten tot de geplande patchdag. Oracle hanteert deze updatecyclus, vergelijkbaar met Microsofts Patch Tuesday, al sinds begin 2005 en is pas vier keer eerder van dat schema afgeweken.
:strip_exif()/i/1303128799.gif?f=fpa)
:strip_exif()/i/1253019507.gif?f=fpa)
:strip_exif()/i/1317812597.gif?f=fpa)
:strip_exif()/i/1149088707.gif?f=fpa)
/i/1187250147.png?f=fpa)
:strip_exif()/i/1303379763.gif?f=fpa)
/i/1245426289.png?f=fpa)
:strip_icc():strip_exif()/u/363337/Flag.jpg?f=community){kind=small}
:strip_exif()/u/6999/logofreem.gif?f=community){kind=small}
