L’organisation Apache Software Foundation alerte ses utilisateurs sur une mise à jour de son logiciel serveur Apache 2.0. Elle est destinée à contrer une vulnérabilité «significative» aux attaques de type déni de service (DoS).
La fondation Apache, qui développe le plus populaire des logiciels d’administration de sites web, recommande fortement à ses utilisateurs de charger la toute nouvelle version (Apache 2.0.45), pour régler un problème lié aux attaques par saturation de type déni de service ou DoS (« denial-of-service »). Ce type d’attaque inonde un réseau de données, le rendant inaccessible aux requêtes légitimes.
Selon un avertissement publié le 4 avril (lire détails en anglais), cette vulnérabilité de la version 2.0.44 touche tous les systèmes d’exploitation. Cependant Apache a également émis un avertissement spécifique pour les utilisateurs d’OS/2, indiquant que même la nouvelle mise à jour ne réglait pas totalement le problème de vulnérabilité DoS. Il devrait être résolu dans la prochaine livraison, la 2.0.46, mais la fondation précise que le problème est tellement important, qu’il valait mieux ne pas retarder la sortie de la version 2.0.45.
Elle s’est dépêchée de lancer la mise à jour pour éviter le type de scénario qui s’était produit en juin dernier. Une société de sécurité avait signalé une faille et n’avait donné à Apache que quelques heures pour réagir.
La vulnérabilité DoS dans la version 2.0.44 a été découverte par David Endler de la société de sécurité iDefense, lequel devrait fournir des informations complètes le 8 avril.
Apache domine le marché des serveurs web avec pratiquement 63% de parts de marché, si l’on en croit les statistiques de Netcraft. Microsoft se place en seconde position avec 27,4%, tandis que Sun Microsystems arrive loin derrière avec seulement 1,1% de part de marché
[source – ZDNet.fr]