Falla avvelenata per Apache

Internet Security Systems svela l'esistenza di una grave falla che colpisce milioni di server Web su cui gira Apache. Accesissime le polemiche circa l'opportunità della sua divulgazione

Roma - Lo scorso lunedì la nota società di sicurezza Internet Security Systems (ISS) ha reso pubblica una grave falla che affligge Apache. Il popolare server Web open source, secondo l'osservatorio di Netcraft, attualmente gira su oltre il 60% dei siti Internet.

All'avviso pubblicato da ISS hanno poi fatto seguito quello dell'Apache Foundation e del CERT, dove si descrive una falla che interessa le versioni di Apache comprese fra la 1.3 e la 1.3.24 e fra la 2.0 e la 2.0.36. La vulnerabilità risiede nel codice che gestisce alcune richieste HTTP e che, nel caso di Apache 1.3.x, possono consentire ad un aggressore di eseguire del codice a sua scelta sul server vittima. Il problema appare invece meno grave per quel che concerne Apache 2.x, dove un aggressore può sfruttare la falla per lanciare attacchi di tipo denial of service ma non per penetrare nel server remoto.

Il comportamento di ISS ha però scatenato un'accesa polemica: secondo l'Apache Foundation, infatti, ISS avrebbe pubblicato il proprio advisory senza avvisare né l'Apache Foundation né il CERT, un atteggiamento definito dal team di sviluppatori open source "pericoloso e irresponsabile".
Ad esacerbare le critiche c'è poi il fatto che ISS, con quella che assume le proporzioni di una clamorosa leggerezza, ha distribuito insieme al suo advisory una patch che andava a risolvere il problema solo parzialmente: la società era infatti convinta che il bug riguardasse solo la versione per Windows di Apache. In realtà, come ha poi puntualizzato il bollettino di sicurezza dell'Apache Foundation, il problema riguarda anche altre versioni del software.

Mark Cox, uno dei membri fondatori dell'Apache Foundation, si è detto allibito dal comportamento di ISS, sostenendo che se ISS si fosse consultata con il team di sviluppatori di Apache o il CERT sarebbe immediatamente venuta a sapere non solo che il problema era già noto, ma che era già in sviluppo una patch.

La prima società di sicurezza a scoprire la falla è stata infatti Next-Generation Security Software (NGSS) , una società che ha però deciso di non prendere decisioni affrettate e coordinare lo sviluppo di una patch che l'Apache Foundation.

"Con questo prematuro rilascio - ha commentato David Litchfield, co-fondatore di NGSS - ISS ha lasciato molti sistemi vulnerabili e senza la possibilità di applicare una patch".

Alcuni membri della comunità di Apache hanno giudicato il comportamento di ISS come un attacco al software open source; altri lo hanno interpretato come una mera mossa pubblicitaria.

La linea difensiva di ISS verte sul fatto che il team di sviluppatori di Apache non è un'azienda e, dunque, il referente principale per la notifica di bug diviene automaticamente l'intera comunità, compresa quella degli utenti.

"Una tesi - commenta ironico Cox - senza dubbio originale".

Chris Rouland, a capo del team ricerca e sviluppo di ISS, sostiene poi che molti membri dell'Apache Foundation lavorano per società concorrenti alla sua e non possono dunque essere considerati dei validi referenti. Uno di questi è proprio Cox, sviluppatore di spicco di Red Hat.

"Potrebbe non essere nell'interesse dei miei clienti far sapere a Red Hat che qui c'è una vulnerabilità di sicurezza", ha detto Rouland. "Non considero Red Hat una terza parte affidabile".

In attesa di completare lo sviluppo di una patch, l'Apache Foundation ha già rilasciato due nuove versioni di Apache che correggono il problema: la 1.3.25 e la 2.0.39.
147 Commenti alla Notizia Falla avvelenata per Apache
Ordina
  • Allora, il motivo per cui quando si pubblicizzano bug Micrsoft nessuno ha nulla da ridire è perchè il codice sorgente dei loro prodotti NON E' OPENSOURCE, anche se diffusissimo, quindi alla base di questa ostilità generale c'è un profondo sentimento antimonopolista, nato, secondo me giustamente, perchè anche gli utenti comuni abbiano un giorno la possibilità di scegliere prodotti DIVERSI da quelli Microsoft.
    E poi Apache è un software opensource, per chi è davvero esperto non ci vuole granchè a dare un occhiata al codice e a trovare bugs.. per questo si ritiene che la ISS abbia avuto un comportamento scorretto.
    non+autenticato
  • usano linux.
    Ma con che faccia?????
    Con questi casini gli haker son buoni solo a fregar le password agli altri e giustificare i furti che fanno con la loro ideologia.
    Che schifo Apache Che schifo LINUX
    non+autenticato

  • Quseti trollacci stanno davvero scassando...
    non+autenticato
  • Gli hack utilizzano UNIX.
    E quindi anche Linux.
    Apache dal 96 al 2001 ha avuto 6 bug; IIS dal 96 al 2001 oltre 60; bug da piccoli a importanti.
    Se dovessi giudicare in base a ciò, direi che lo schifo sta da un'altra parte!
    Poi ognuno ha i suoi criteri per giudicare, non è detto che debbano essere la security ed il N° di bug, o la densità di bug del sw.
    non+autenticato
  • MMM bello di casa vai sul sito di apache, apri il gestore dei bug per una qualsiasi piattaforma...

    http://nagoya.apache.org/bugzilla/buglist.cgi?bug_...

    Questo è il link per avere lo status dei 23 bug aperti per Linux (3 sono fixed, ma non Closed, quindi non è detto che i problemi siano risolti)... Molti sono critical o major. E se leggete i dettagli per alcuni si tratta di sviste grossolane.

    Non conviene fare disinformazione quando chiunque può andare sulla pagina web e leggere le statistiche e lo status di un progetto. Si chiama Open Source...Occhiolino
    non+autenticato
  • che schifo gli idioti
    non+autenticato


  • - Scritto da: Caccker
    > usano linux.

    non sai nemmeno che faccia ha un hacker.

    > Ma con che faccia?????
    > Con questi casini gli haker son buoni solo a
    > fregar le password agli altri e giustificare
    > i furti che fanno con la loro ideologia.

    bravo. l'hai letto su topolino che "gli hacker cattivi rompono i computer ?"

    > Che schifo Apache Che schifo LINUX

    meno male che ci sei te.
    non+autenticato
  • Ma finiamola con 'sto campanilismo e piantiamola di insultarci a vicenda come dei ragazzini vizziati...
    Credo che la maggior parte di chi partecipa a questi Forum siano cmq persone ragionevoli e senza pregiudizi e allora perché non cercare di collaborare invece che menarcela con i soliti discorsi campanilistici di chi a + o meno bug o questo e meglio e questo è peggio?
    Credo e ripeto che la risposta sia semplice, ognuno ha i suoi pregi e i suoi difetti ma sembra quasi di dover tirare necessariamente acqua al proprio "server" e dimostrare quanto è bello e quanto e forte eh? Cerchiamo di essere un pò più professionali altrimenti ad indietreggiare siamo noi e non il sw.
    ciao
    non+autenticato


  • - Scritto da: @lex
    > Ma finiamola con 'sto campanilismo e
    > piantiamola di insultarci a vicenda come dei
    > ragazzini vizziati...
    > Credo che la maggior parte di chi partecipa
    > a questi Forum siano cmq persone ragionevoli
    > e senza pregiudizi e allora perché non
    > cercare di collaborare invece che menarcela
    > con i soliti discorsi campanilistici di chi
    > a + o meno bug o questo e meglio e questo è
    > peggio?
    > Credo e ripeto che la risposta sia semplice,
    > ognuno ha i suoi pregi e i suoi difetti ma
    > sembra quasi di dover tirare necessariamente
    > acqua al proprio "server" e dimostrare
    > quanto è bello e quanto e forte eh?
    > Cerchiamo di essere un pò più professionali
    > altrimenti ad indietreggiare siamo noi e non
    > il sw.

    Hai anche il coraggio di dire queste cose dopo aver esordito con questo post :

    "... questo mitico Apache non sembra così invulnerabile come viene descritto da chi è alla continua ricerca di buchi di qualcun'altro. Ma dico io fai a fare pozzi artesiani che c'è tanto bisogno d'acqua!"

    Non solo insultate apache per un bug ogni morte di papa quando il vostro IIS e' un colabrodo !!

    Ora iniziate pure i flame e poi fate la predica di non flammeggiare !!!!

    Non ho parole !!!
    non+autenticato
  • > Non solo insultate apache per un bug ogni
    > morte di papa quando il vostro IIS e' un
    > colabrodo !!
    >
    > Ora iniziate pure i flame e poi fate la
    > predica di non flammeggiare !!!!
    >
    > Non ho parole !!!

    ...aridaie! Si forse il mio esordio poteva essere pure provocatorio ma subito la paglia ha scatenato un incendio ...che triste!
    E poi con sta storia di IIS... c'è anche dell'altro eh? Ma basta! Rilassatevi un attimo e abassate 'sta guardia...
    non+autenticato


  • - Scritto da: @lex

    > ...aridaie! Si forse il mio esordio poteva
    > essere pure provocatorio ma subito la paglia
    > ha scatenato un incendio ...che triste!

    Ok ! Sia io che te sappiamo che e' cosi' !!!

    cerchiamo di evitare !!!

    > E poi con sta storia di IIS... c'è anche
    > dell'altro eh?

    Ok ! potrei parlarti della korea del sud, ma visto che si sta discutendo di web server mi sembrava piu' appropriato parlare di IIS !!!!

    > Ma basta! Rilassatevi un
    > attimo e abassate 'sta guardia...

    la guardia si abbassa quando cessano i colpi !!!

    Sorride
    non+autenticato

  • > Ok ! potrei parlarti della korea del sud,

    ...no ti prego altrimenti anche Collina diventerebbe un amministratore di sistema visto come è andata all'Italia!

    > la guardia si abbassa quando cessano i colpi

    ...si ma l'incontro è amichevole e senza "casa"
    non+autenticato


  • - Scritto da: @lex
    > > Non solo insultate apache per un bug ogni
    > > morte di papa quando il vostro IIS e' un
    > > colabrodo !!
    > >
    > > Ora iniziate pure i flame e poi fate la
    > > predica di non flammeggiare !!!!
    > >
    > > Non ho parole !!!
    >
    > ...aridaie! Si forse il mio esordio poteva
    > essere pure provocatorio ma subito la paglia
    > ha scatenato un incendio ...

    probabilmente la paglia che ha preso fuoco e' quella della coda dei supporter microsoft.

    Qulcuno in buona fede puo' negare che non appena esce su PI una notizia di un bug (vero o PRESUNTO, come quello del kernel sui processori AMD) i supporter microsoft si scaglino sul forum a scrivere :

    "AH ah !! ci godo"
    "ah !! il software opensource e' buggato piu' di quello m$"
    "ah non e' poi cosi' indistruttibile come si dice"

    ecc ...

    ?
        
    non+autenticato
  • > probabilmente la paglia che ha preso fuoco
    > e' quella della coda dei supporter
    > microsoft.
    >
    > Qulcuno in buona fede puo' negare che non
    > appena esce su PI una notizia di un bug
    > (vero o PRESUNTO, come quello del kernel sui
    > processori AMD) i supporter microsoft si
    > scaglino sul forum a scrivere :
    >
    > "AH ah !! ci godo"
    > "ah !! il software opensource e' buggato
    > piu' di quello m$"
    > "ah non e' poi cosi' indistruttibile come si
    > dice"
    >
    > ecc ...
    >
    > ?

    I supporter microsoft non sono mai esistiti sino a quando i supporter linux che supportando la filosofia Open Source con una mentalita' molto CLOSED del tipo "usi windows sei utonto e non capisci nulla" non hanno incominciato a rompere i maroni su qualsiasi notizia MS.

    Sino ad un'anno fa' Linux era il sistema piu' sicuro, stabile e performante. Oggi sappiato tutti che linux e' bucabile e bacato ne piu' e ne meno degli altri OS e piu' andiamo avanti e piu' si scopriranno nuovi problemi ed e' quindi normale trovare gente alla quale non frega nulla di IIS e Linux che si diverte a scatenare flame appena se ne presenta l'occasione.
    Esattamente come fa il giovane "nerd brufoloso" che e' stato convinto dai sempre presenti supporter linux a vomitare su MS.. vogliamo parlare anche degli "evangelisti" del Mac?

    Cerchiamo di essere meno incoerente e meno Closed di mentalita'. Oppure continuiamo a divertirci cosi' tanto abbiamo tempo da buttare via.
    non+autenticato


  • - Scritto da: aLeX

    > Sino ad un'anno fa' Linux era il sistema
    > piu' sicuro, stabile e performante. Oggi
    > sappiato tutti che linux e' bucabile e
    > bacato ne piu' e ne meno degli altri OS

    questo e' semplicemente ridicolo.

    linux continua ad essere piu' stabile, piu' performante e piu' sicuro di qualsiasi winzozz esattamente come lo era un anno fa.

    non+autenticato
  • poi sarei io il ridicolo..Sorride
    non+autenticato


  • - Scritto da: aLeX
    > poi sarei io il ridicolo..Sorride

    potresti farmi vedere dove avrei detto che sei ridicolo ?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 20 discussioni)