یک آسیب پذیری با نام Optionsbleed در سرور HTTP آپاچی وجود دارد که در سیستم های خاصی منجر به نشت داده های حساس در پاسخ به درخواست های HTTP OPTIONS می شود. محققی که بر روی روش های HTTP بررسی هایی را انجام می داد، متوجه شد درخواست هایی با روش OPTIONS بجای برگرداندن روش هایی که توسط سرور پشتیبانی می شود، با سرآیند Allow داده های خرابی را برمی گرداند.
نشت داده ها از حافظه ی سرور آپاچی به دلیل وجود یک آسیب پذیری استفاده پس از آزادسازی است که شناسهی CVE-2017-9798 به آن اختصاص داده شده است. باتوجه به آسیبپذیریهایی که با عنوان bleeding همراه میشوند، مانند آسیبپذیری Heartbleed، آسیبپذیری Optionsbleed تا این حد جدی نیست چرا که برای بهرهبرداری از آن، سرور باید بهطور ویژهای پیکربندی شده باشد و پاسخ سرور دارای دادههای دیگری نباشد.
یک شرکت امنیتی با نام Sophos جزيیات این آسیبپذیری را منتشر کرده است. این محقق امنیتی این آسیبپذیری را بر روی ۱ میلیون وبسایت برتر الکسا بررسی کرده و تنها بر روی ۴۶۶ مورد از آنها سرآیند خراب Allow را دریافت کرده است. با همکاری گروه توسعهدهندهی آپاچی، این محقق امنیتی متوجه شد که این آسیبپذیری بر روی پیکربندی خاصی از سرورها وجود دارد. این محقق امنیتی یک کد اثبات مفهومی نیز برای این آسیبپذیری منتشر کرده است.
محقق امنیتی با توضیحات خود به این نکته اشاره کرده که محیطهای میزبانی اشتراکی چنین تهدیداتی را به دنبال خواهد داشت. این اشکال جدید نیست و قبلا در قالب یک مقاله در سال ۲۰۱۴ میلادی ارائه شده است. انتشار این مقاله چند هفته پس از افشای آسیبپذیری Heartbleed بوده است. خبر بد این است که مسئولان آپاچی زمانی را برای برطرف کردن مشکل مشخص نکردهاند و این دلیلی بوده که محقق این آسیبپذیری را افشاء کرده است. گروههای توسعهی لینوکس نیز در حال کار برای ارائهی وصلههای امنیتی هستند.
