SGI：Apache存在二个安全缺陷

　　SGI公司于日前发布安全公告称，在其IRIX操作系统上运行Apache Web服务器的计算机存在安全缺陷，可能会受到黑客的攻击。该安全缺陷可能使黑客能够获得系统管理员级的访问权限。

　　该公司生产的计算机系统被广泛应用在从科学计算到电影特效制作的各个领域中，其中包括政府和国防机构。在IRIX 6.5.12、6.5.13和6.5.14上运行1.3.22以前版本的Apache Web服务器的计算机系统会受到最初在上周五公布的这二个安全缺陷的影响。IRIX是SGI专有的类Unix操作系统，Apache则是一种被广泛使用的Web服务器软件，它被缺省地安装在运行IRIX操作系统的计算机系统上。

　　第一个安全缺陷存在于Apache的分割日志文件的软件中，这是用来管理日志文件的一个工具软件。SGI公司表示，如果启用该功能，经过特别设计的请求就能够在计算机系统上写入任何后缀为.log的文件，使黑客享有对系统的完全控制权。在缺省状态下，这一功能是关闭的。

　　第二个安全缺陷存在于Apache的Multiviews工具中，用来定制内容向浏览器传送方式。在一些配置中，输入特定的请求就会使系统返回一个目录列表，可能使黑客发现计算机系统上存储的秘密文件的位置。
 
　　SGI没有发布修正这二个安全缺陷的补丁程序，但建议用户将操作系统升级至6.5.14以后的版本，其中包含的新版Apache已经解决了这些问题。如果不能立即升级，SGI则建议用户关闭Apache。