|
|
Пишет kukutz (![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small} kukutz)@ 2002-07-02 12:52:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
Удивлен
В IIS и Apache нашли очень похожие ошибки:
Title: Heap Overrun in HTR Chunked Encoding Could Enable Web
Server Compromise (Q321599)
Released: 12 June 2002
Revised: 01 July 2002 (version 2.0)
Software: Internet Information Server
Impact: Run Code of Attacker's Choice
Versions of the Apache Web server up to and including 1.3.24 contain a bug
in the routines which deal with requests encoded using "chunked" encoding.
A carefully crafted invalid request can cause an Apache child process to
call the memcpy() function in a way that will write past the end of its
buffer, corrupting the stack.
Issue date: 2002-05-29
Updated on: 2002-06-19
Внимание, вопрос: как в двух серверах с совершенно разной архитектурой может оказаться одинаковая ошибка?
Вижу два варианта - или это совпадение, или они базируются на одинаковых исходных кодах.
Так как мне ничего неизвестно об общем предшественнике IIS и Apache, а вероятность совпадения кажется весьма низкой, то возникает вопрос - не воруют ли в MS исходники с httpd.apache.org?
В IIS и Apache нашли очень похожие ошибки:
Title: Heap Overrun in HTR Chunked Encoding Could Enable Web
Server Compromise (Q321599)
Released: 12 June 2002
Revised: 01 July 2002 (version 2.0)
Software: Internet Information Server
Impact: Run Code of Attacker's Choice
Versions of the Apache Web server up to and including 1.3.24 contain a bug
in the routines which deal with requests encoded using "chunked" encoding.
A carefully crafted invalid request can cause an Apache child process to
call the memcpy() function in a way that will write past the end of its
buffer, corrupting the stack.
Issue date: 2002-05-29
Updated on: 2002-06-19
Внимание, вопрос: как в двух серверах с совершенно разной архитектурой может оказаться одинаковая ошибка?
Вижу два варианта - или это совпадение, или они базируются на одинаковых исходных кодах.
Так как мне ничего неизвестно об общем предшественнике IIS и Apache, а вероятность совпадения кажется весьма низкой, то возникает вопрос - не воруют ли в MS исходники с httpd.apache.org?
Добавить комментарий:
