Alessandro Del Rosso

Apache corregge una grave vulnerabilitÓ

La pi¨ recente versione del famoso webserver open source corregge un problema di sicurezza considerato della massima gravitÓ

Roma - Pochi giorni addietro è stata rilasciata una nuova versione del famoso webserver Apache che risolve diversi problemi di sicurezza, tra i quali uno considerato dalla società Sense of Security (SoS) della massima gravità.

In questo advisory SoS spiega che nel modulo isapi di Apache, che implementa l'API Internet Server Extension per gli host Windows, si cela una vulnerabilità che può essere utilizzata per eseguire del codice a distanza con i massimi privilegi di sistema.

Insieme al suo advisory SoS ha altresì pubblicato un exploit dimostrativo che dimostra come sia possibile servirsi della debolezza per scrivere un file di testo nella directory di lavoro di Apache.
Il ricercatore di SoS che ha scoperto la falla, Brett Gervasoni, raccomanda agli amministratori di sistema di aggiornare quanto prima le proprie installazioni di Apache alla versione 2.2.15.

Apache 2.2.15 implementa anche le recenti modifiche apportate al a OpenSSL per correggere i problemi di sicurezza ai protocolli SSL e TLS emersi di recente.

Alessandro Del Rosso
58 Commenti alla Notizia Apache corregge una grave vulnerabilitÓ
Ordina
  • Da: http://httpd.apache.org/
    Apache HTTP Server 2.2.15 Released ...
    "This release further addresses the issues CVE-2010-0408, CVE-2010-0425 and CVE-2010-0434 within mod_proxy_ajp, mod_isapi and mod_headers respectively"

    mod_isapi: utilizzato per "far girare" sotto apache moduli isapi (<nomemodulo>.dll) progettati per Internet Information Server

    Quindi il problema colpisce solo i masochisti che tentano di far girare sotto apache cose progettate per IIS.
    non+autenticato
  • - Scritto da: vor
    > Da: http://httpd.apache.org/
    > Apache HTTP Server 2.2.15 Released ...
    > "This release further addresses the issues
    > CVE-2010-0408, CVE-2010-0425 and CVE-2010-0434
    > within mod_proxy_ajp, mod_isapi and mod_headers
    > respectively"
    >
    > mod_isapi: utilizzato per "far girare" sotto
    > apache moduli isapi (<nomemodulo>.dll) progettati
    > per Internet Information
    > Server
    >
    > Quindi il problema colpisce solo i masochisti che
    > tentano di far girare sotto apache cose
    > progettate per
    > IIS.

    Mbe? che c'è di strano ciascuno si fa del male a modo suo...
    Chi usa windows come server è già diciamo... "psicologicamente predisposto" secondo il tuo ragionamento....
    Non voglio dire che non sia anche vero in parte ma....
    Magari non è neanche colpa sua magari gli hanno fatto trovare la solita applicazione "legacy" che bala bla...
    Molto spesso si calcola l'impatto economico che avrebbe "rimettere a punto l'applicazione x" più difficilmente (e molto stupidamente) si calcola l'impatto economico che ha "lasciare le cose come stanno" (problemi di sicurezza updates che hanno difficoltà gestione farraginosa).
    ╚ colpa anche degli "specialisti" e professionisti che spesso si adagiano supinamente su questo andazzo anzichè trovare un metodo (comprensibile anche al manager beota) per spiegare bene i costi sia in un caso che nell'altro... e sarebbe invece possibile e utile farlo, perchè ne va non solo del proprio lavoro e competenza professionale ma anche dei costi e della efficienza aziendale (e oggi come oggi magari anche del posto di lavoro).

    Io inviterei anche a meditare su questo ...

    Lo dico perchè lo ho visto succedere più di una volta....
    non+autenticato
  • Dai, usare apache su Windows è assurdo come tentare di giocare su linux ai giochi Windows con Wine...

    Lasciamo che ogni SO venga usato per le cose in cui rende meglio, per i server Linux, per i giochi Windows. Punto.
    non+autenticato
  • - Scritto da: Enterprise Profession al
    > Lasciamo che ogni SO venga usato per le cose in
    > cui rende meglio, per i server Linux, per i
    > giochi Windows.
    > Punto.

    Certo certo:

    http://en.wikipedia.org/wiki/Usage_share_of_operat...

    Get the facts!
  • e' divertente leggere questi commenti

    ma, almeno, hai letto che c'è scritto? no? Lo leggo io per te.

    Il primo report della IDC è stato preso da questo commento http://blogs.zdnet.com/microsoft/?p=5408 che a sua volta rimanda a questa pagina http://www.idc.com/getdoc.jsp?containerId=prUS2222.... Il secondo report della IDC su wikipedia rimanda sempre alla stessa pagina http://www.idc.com/getdoc.jsp?containerId=prUS2222... .

    Ora, se ti leggi quel report troverai che quei numeri sono dati in riferimento alle "vendite" effettuate dalle grosse aziende il che significa che non è esattamente utilizzabile per "tastare" la situazione dei webserver perché, infatti, molte aziende di hosting non acquistano server con su linux preinstallato.

    L'unico report affidabile (o per meglio dire, più affidabile) è quello netcraft che, se leggi, riporta IIS e Apache sullo stesso livello, ma se accedi alla pagina di netcraft e leggi che c'è scritto troverai che è si un report del web, ma esclusivamente riferito ad host che hanno su SSL. Ora se mi permetti tenere in considerazione solo le macchine con certificati attivi non è esattamente molto corretto ... se accedi al sito a questa pagina, dove ci sta un sondaggio sui webserver, http://news.netcraft.com/archives/web_server_surve... scoprirai come, sul web a febbraio 2010, sui siti controllati da netcraft, ci stanno attivi il 54% errotti, ovvero 112,903,926 di webservers con apache, rispetto al 24% errotti, ovvero 50,928,226 di webservers con su IIS.

    Detto questo, non prendete in parola TUTTO quello che leggete su wikipedia solo perché è scritto su wikipedia ... ALMENO andate a leggere quello che c'è scritto sulle fonti che magari non sono affidabili o non sono state interpretate correttamente dall'autore dell'articolo.
    non+autenticato
  • > Certo certo:
    >
    > http://en.wikipedia.org/wiki/Usage_share_of_operat
    >
    > Get the facts!

    Quei report si riferiscono alle vendite, non alla base di installato. E' chiaro che server linux se ne comprano pochi, nella maggioranza dei casi si scaricano gratuitamente e legalmente e si installano su qualunque macchina. E' come dire: "Tra i pc venduti con SO preinstallato, Windows è al 95%" e grazie, ci mancherebbe pure.

    Sarebbe più corretto guardare questo semmai: http://news.netcraft.com/archives/web_server_surve...

    Ma poi dai, persino Gartner (notoriamente stipendiata da MS per le sue controproducenti campagne get the facts) è arrivata a dire che Windows sta collassando:

    http://www.computerworld.com/s/article/9076698/Win...

    Sono sui videogiochi danno la birra a tutti, finché dura.
    non+autenticato
  • Ma leggili e prova a comprenderli i tuoi link invece che dare libero spazio al copy paste a caxxo.
    non+autenticato
  • Vedo che continui a non seguire il mio consiglio, prima di postare dei link, assicurati di aver letto e compreso il contenuto in modo da evitare magre figure.
  • Mica vero.

    Io lo adotto su una macchina visrtuale con XP (virtualbox). Lo utilizzo per lo sviluppo con PHP/MySQL utilizzando Eclipse per poi pubblicare il tutto su un server Linux. Questo perchè lavoro anche in ambiente win per le applicazioni intranet. Avrei anche potuto installare una macchina virtuale con Linux, ma visto che ne avevo a disposizione con XP ho usato quella. Sono pigro lo so. Sorride

    Tutto regolare. Almeno fino ad ora.
    non+autenticato
  • - Scritto da: Enterprise Profession al
    > Dai, usare apache su Windows è assurdo come
    > tentare di giocare su linux ai giochi Windows con
    > Wine...
    >
    > Lasciamo che ogni SO venga usato per le cose in
    > cui rende meglio, per i server Linux, per i
    > giochi Windows.
    > Punto.

    E invece io continuo a giocare a Oblivion su wine. Gne gne.
    Shiba
    3922
  • Oblivion rigorosamente craccato / rubato, come da filosofia open, vero?
    non+autenticato
  • - Scritto da: Menadito
    > Oblivion rigorosamente craccato / rubato, come da
    > filosofia open,
    > vero?

    Inizialmente sì, mi serviva sapere come funzionava con wine. Una volta visto che andava bene l'ho preso su ebay con anche shivering isles. Mi dispiace deluderti ma gli esperti di crack e simili non siamo noi.Sorride
    -----------------------------------------------------------
    Modificato dall' autore il 10 marzo 2010 19.26
    -----------------------------------------------------------
    Shiba
    3922
  • Falla già risolta come recita l'articolo, comunque il problema riguardava solo la piattaforma Windows:

    http://www.senseofsecurity.com.au/advisories/SOS-1...
  • Certo che se usate Windows addirittura come server, allora ve le andate proprio a cercare...
    non+autenticato
  • Un commento equilibrato, soprattutto molto ben documentato... complimenti!
    non+autenticato
  • - Scritto da: Eledril
    > Un commento equilibrato, soprattutto molto ben
    > documentato...
    > complimenti!
    LOL
    non+autenticato
  • - Scritto da: Eledril
    > Un commento equilibrato, soprattutto molto ben
    > documentato...
    > complimenti!

    e questo allora?
    ------------------------------------
    Autore: bizx
    IIS è decisamente meglio. Anzi tutto l'ambiente .net è il migliore, insieme a winserver 08.
    ------------------------------------

    Sia da una parte che dall'altra postare "e meglio X" o "e meglio Y" senza prove oggettive e' solo perdere tempo.
    non+autenticato
  • - Scritto da: ohmammamia
    > Certo che se usate Windows addirittura come
    > server, allora ve le andate proprio a
    > cercare...

    http://en.wikipedia.org/wiki/Usage_share_of_operat...

    Get the facts!

    Fan Windows
  • http://news.netcraft.com/archives/web_server_surve...

    Nell'articolo si parla di WEB Servers (apache, you know), non di servers in senso lato (a.e.: serverini per reti locali).

    Baci.
    Matteo
    non+autenticato
  • - Scritto da: Matteo
    >
    > Nell'articolo si parla di WEB Servers (apache,
    > you know), non di servers in senso lato (a.e.:
    > serverini per reti
    > locali).

    Quindi?
    Mi sembra che IIS venga usato parecchio e non solo su "serverini", you know...
    Visto che il trollettino ignorante di cui sopra poi non ha specificato che tipo di server ho colto la palla al balzo per fargli vedere che nel mercato dei server "generico" Ms ha oltre il 70% di share.
    Solo nei Web Server è seconda ad Apache, ma non certo per qualità inferiore, poichè a mio avviso sono assolutamente equiparabili sotto tutti i punti di vista, con l'enorme svantaggio per Apache di supportare solo sommariamente .NET/AspX....

    Ma Ms non campava solo grazie al preinstallato?
    -----------------------------------------------------------
    Modificato dall' autore il 10 marzo 2010 10.03
    -----------------------------------------------------------
  • > Ma Ms non campava solo grazie al preinstallato?
    > Se
    >
    > anche se certo

    Ma aspetta, ora il linaro di turno ti dirà che quelle statistiche non valgono niente perchè tracciano le vendite dei server ed è pratica comune in azienda comprare server con windows installato e poi metterci sopra imbuto server ediscion.
    Mentre per i dati di netcraft è noto che tutti gli amministratori linari fanno si che tutti i loro server si presentino come windows, esattamente come tutti gli utilizzatori di firefox configurano l'agent per presentarsi come ie.
    non+autenticato
  • - Scritto da: nome e cognome
    > Ma aspetta, ora il linaro di turno ti dirà che
    > quelle statistiche non valgono niente perchè
    > tracciano le vendite dei server ed è pratica
    > comune in azienda comprare server con windows
    > installato e poi metterci sopra imbuto server
    > ediscion.
    >

    Rotola dal ridere

    > Mentre per i dati di netcraft è noto che tutti
    > gli amministratori linari fanno si che tutti i
    > loro server si presentino come windows,

    Eh già, è proprio una best practice dell'imbuto ediscion, mi sa che viene configurato così di default da Shuttlewhore in persona (pc per pc ovviamente, bussa a casa di ogni imbutato e fa tutto lui).

    > esattamente come tutti gli utilizzatori di
    > firefox configurano l'agent per presentarsi come
    > ie.

    Non saprei.....gli utilizzatori di firefox sono mediamente delle bestie che lo usano solo perchè "l'amico che ci capisce di piccì gli ha detto che è più meglio"! Dubito sappiano cos'è lo user agent.
  • contenuto non disponibile
  • - Scritto da: nome e cognome
    > Ma aspetta, ora il linaro di turno ti dirà che
    > quelle statistiche non valgono niente perchè
    > tracciano le vendite dei server

    Fai te...

    > ed è pratica
    > comune in azienda comprare server con windows
    > installato e poi metterci sopra imbuto server
    > ediscion.

    Non esattamente.
    Se vuoi Windows ti compri server + licenza Windows.
    Se vuoi Linux puoi o richiedere che ti venga preinstallata RedHat/Novel SUSE oppure prendi il server senza OS.
    Il 99% dei server Linux (di marca o assemblati) con cui ho avuto a che fare montano Debian o CentOS (un tempo andava di moda anche Slackware). Quelle macchine non sono state comprate con qui sistemi operativi e perciò non figurano in quelle statistiche.
    Non molto spesso ma può succedere che dopo anni di attività un server Windows sia convertito a Linux o per migliorarne le prestazioni o perché non si vuol pagare l'aggiornamento alla nuova versione di Windows.
    Ciò spiega l'enorme differenza tra i dati di Netcraft e quelli della IDC.

    > Mentre per i dati di netcraft è noto che tutti
    > gli amministratori linari fanno si che tutti i
    > loro server si presentino come windows,

    Hai idea di quanti router con Linux o Busybox/Linux vengano usati?
    Solo una minima parte sono conteggiati da Netcraft e di questi molti non sono identificati come server Linux.


    Bisogna anche considerare che per i prodotti MS conta molto il fattore marketing. Spesso vendono di più perché meglio pubblicizzati, non tanto per le effettive prestazioni.


    > esattamente come tutti gli utilizzatori di
    > firefox configurano l'agent per presentarsi come
    > ie.

    Un tempo IE aveva più del 90% del mercato, adesso è sotto il 60%.
    Probabilmente sono gli utenti IE che mascherano l'agent per fingere di usare Firefox.
  • Incredibile!

    Non erano ancora iniziate le trollate che già è stata resa disponibile la patch!

    Più veloci di così ...
    non+autenticato
  • IIS è decisamente meglio. Anzi tutto l'ambiente .net è il migliore, insieme a winserver 08.
    non+autenticato
  • Oh, ma vai a dormire ché è tardi, và. Sei banda sprecata.
    non+autenticato
  • certo clonetto certo
    non+autenticato
  • > Oh, ma vai a dormire ché è tardi, và. Sei banda
    > sprecata.

    sono pacchetti persiA bocca aperta
    non+autenticato
  • - Scritto da: Bizx
    > IIS è decisamente meglio. Anzi tutto l'ambiente
    > .net è il migliore, insieme a winserver
    > 08.

    Vero! Me lo ha confermato un mio corrispondente che sta in russia.
    Mi dice che grazie ad IIS e a tante applicazioni M$, la loro produttivita' in russia e' altissima.
    Possono vantare la rete distribuita piu' grande del pianeta.
  • LOL... credo che l'abbiamo capita in 3....A bocca aperta
    non+autenticato
  • - Scritto da: zuzzurro
    > LOL... credo che l'abbiamo capita in 3....A bocca aperta

    Non penso proprio.
    PandaRotta è sempre dietro a menarla con 'sta BotNet russa che in pochi non l'avranno capita.

    Sai è rimasto scottato qualche anno fa quando usava Windows ma non riusciva a tenere il PC acceso per più di un'ora senza beccarsi 10/15 virus. Da allora è convinto che sia colpa di Windows se esistono i virus ed è dovuto scappare su sistemi useless-like (*nix-like), che in quanto tali sono assolutamente non appetibili per i cracker. Però non sa che c'è gente che usa solo Win e non sa cosa sia un virus da circa 10 anni.

    Poco male: è la normale differenza tra un professionista e un cazzaro, né più né meno!

    Ficoso
  • > Poco male: è la normale differenza tra un
    > professionista e un cazzaro, né più né
    > meno!

    Pensa al trauma quando scoprirà che i russi controllano una quantità infinita di server *nix, *nux, *buto che usano per scambiarsi pedo-porno...
    non+autenticato
  • - Scritto da: nome e cognome
    >
    > Pensa al trauma quando scoprirà che i russi
    > controllano una quantità infinita di server *nix,
    > *nux, *buto che usano per scambiarsi
    > pedo-porno...

    Ah ah "*buto" !! Mi sa che te la rubo e la userò da adesso in poi...
  • - Scritto da: Uau (TM)
    > - Scritto da: nome e cognome
    > >
    > > Pensa al trauma quando scoprirà che i russi
    > > controllano una quantità infinita di server
    > *nix,
    > > *nux, *buto che usano per scambiarsi
    > > pedo-porno...
    >
    > Ah ah "*buto" !! Mi sa che te la rubo e la userò
    > da adesso in
    > poi...

    Meglio il nostro *buto che il vostro *shit...
    non+autenticato