kukutz: Удивлен

Удивлен
В IIS и Apache нашли очень похожие ошибки:

Title: Heap Overrun in HTR Chunked Encoding Could Enable Web
Server Compromise (Q321599)
Released: 12 June 2002
Revised: 01 July 2002 (version 2.0)
Software: Internet Information Server
Impact: Run Code of Attacker's Choice

Versions of the Apache Web server up to and including 1.3.24 contain a bug
in the routines which deal with requests encoded using "chunked" encoding.
A carefully crafted invalid request can cause an Apache child process to
call the memcpy() function in a way that will write past the end of its
buffer, corrupting the stack.
Issue date: 2002-05-29
Updated on: 2002-06-19

Внимание, вопрос: как в двух серверах с совершенно разной архитектурой может оказаться одинаковая ошибка?

Вижу два варианта - или это совпадение, или они базируются на одинаковых исходных кодах.

Так как мне ничего неизвестно об общем предшественнике IIS и Apache, а вероятность совпадения кажется весьма низкой, то возникает вопрос - не воруют ли в MS исходники с httpd.apache.org?

(Добавить комментарий)

allter@lj
2002-07-01 21:12 (ссылка)

Apache базируется на NSCA httpd, возможно и IIS тоже. Я правда не знаю ничего по поводу того, что в те времена были данные виды запросов. Но ошибка могла также перетечь из того же апача в IIS и "легальным" способом - необязательно ведь втупую копировать код...

P.S. Я не разбирался в потрохах Apache, так что не в курсе в деталях...

(Ответить)

	Это нарочно chirchik@lj 2002-07-02 03:52 (ссылка)
	Ошибки заказаны правительством США и используются инопланетянами для вербовки агентов влияния. (Ответить)

	dmierkin@lj 2002-07-02 06:33 (ссылка)
	я бы на их месте как минимум посмотрел бы на этот код. но вряд ли скопировал, как вы правильно заметили - архитектура разная, копировать не поможет. (Ответить)