Roberto Pulito

Attenti all'Apache Killer

I web server si ritrovano minacciati da un exploit che sfrutta una nota falla del software Apache. Rimasta scoperchiata per quattro anni, ma per cui esistono delle contromisure

Roma - Vecchi fantasmi tornano ad impensierire la piattaforma server web più diffusa nel mondo. L'insidioso Killer Apache comparso in questi giorni sfrutta infatti una vulnerabilità identificata dall'esperto di sicurezza Michal Zalewski nel lontano gennaio 2007.

A quanto pare le versioni attaccabili del software Apache riscontrano problemi nel gestire richieste con valori di Range Header illeciti. E lo strumento killapache.pl invia al server molteplici richieste di questo tipo, con il solo scopo di esaurire la memoria disponibile nel sistema.

Il software malevolo scritto in Perl, utilizzabile a distanza, ha già dimostrato di potere eseguire un attacco di tipo DoS (denial of service), in grado di mandare in tilt il web server Apache e di conseguenza tutti i siti internet ospitati in quello spazio.
Il problema di sicurezza riguarda le installazioni standard Apache HTTPD 2.0 e 2.2. Attualmente non esiste ancora una patch ma il comunicato ufficiale dedicato agli amministratori di sistema spiega le contromisure da intraprendere per proteggere le reti fino a quando non arriverà una cura.

Roberto Pulito
Notizie collegate
25 Commenti alla Notizia Attenti all'Apache Killer
Ordina
  • Bastava approfondire leggermente per leggere un post del 25 Agosto
    Chiederei di modificare il titolo dell'articolo

    - - - - - - - - - - -
    This is an issue for all web servers implementing Range according to RFC2616 properly. This strict interpretation is currently discussed in the IETF:
            http://trac.tools.ietf.org/wg/httpbis/trac/ticket/...

    This issue is, a Michal's 2007 email importantly points out, cross server. Not just Apache.
    And I am sure we've not heard the last of this.
    - - - - - - - - - - - - - - -

    Fonte - http://seclists.org/fulldisclosure/2011/Aug/281
    non+autenticato
  • lasciate perdere apache, pesante e lento come un mattone, pertanto facilmente esposto ad attacchi ddos... esistono anche webserver leggeri e veloci ma purtroppo sconosciuti e quindi poco diffusi:
    http://en.wikipedia.org/wiki/Comparison_of_lightwe...
    non+autenticato
  • Già... però certe tecnologie non sono supportate da questi web server.
    Io sto pensando di migrare al webserver integrato di Railo (CFML), ma mi occorrerà credo un buon annetto per testare i carichi...
    non+autenticato
  • - Scritto da: hermanhesse
    > Già... però certe tecnologie non sono supportate
    > da questi web
    > server.
    > Io sto pensando di migrare al webserver integrato
    > di Railo (CFML), ma mi occorrerà credo un buon
    > annetto per testare i
    > carichi...

    senza contare che apache è una tecnologia piu che testata e supportata e qualsiasi casino succede basta una ricerchina per risolvere il problema, anche io pensavo di migrare un anno fa ma a dirla tutta le prestazioni di un apache compilato sulla macchina non me le da nessun altro server
    non+autenticato
  • già, la documentazione per apache è impressionante. NGINX non è male ma non è comunque conforntabile, purtroppo... Ma si dai, passiamo ad IIS 7A bocca apertaCon la lingua fuori
    non+autenticato
  • ma infatti e' un consiglio stupido, apache sara' anche esposto a qualche attacco di tipo dos ma e' ben poca cosa rispetto agli exploit che danno accesso root che escono per i server http meno diffusi e quindi meno testati
    non+autenticato
  • - Scritto da: il nano curioso
    > ma infatti e' un consiglio stupido, apache sara'
    > anche esposto a qualche attacco di tipo dos ma e'
    > ben poca cosa rispetto agli exploit che danno
    > accesso root che escono per i server http meno
    > diffusi e quindi meno testati

    allora secondo questo ragionamento un desktop linux sarebbe pieno di pericolosi exploit, essendo meno diffuso e meno testato rispetto a windows? dunque sarebbe un consiglio stupido quello di abbandonare windows?

    ...o forse sarebbe meglio testare la sicurezza di hiawatha per esempio, prima di aprire bocca?
    non+autenticato
  • non ha scritto che è un problema di diffusione, ha scritto che è un problema di testing dovuto alla scarsa diffusione, impara a leggere
    non+autenticato
  • - Scritto da: Ego
    > non ha scritto che è un problema di diffusione,
    > ha scritto che è un problema di testing dovuto
    > alla scarsa diffusione, impara a leggere

    non l'ho scritto neanche io, quindi mi sa che sono in molti a dover imparare a leggere:
    "meno diffuso e meno testato" = riproduzione quasi perfetta del testo originale "meno diffusi e quindi meno testati"

    comunque in quella lista ci sono 4 web server aggiornati al 2011 (cherokee, hiawatha, iis express e nginx) che quindi non possono avere problemi di testing dato che sono verificati costantemente! sono d'accordo invece per tutti gli altri progetti non aggiornati o abbandonati.
    non+autenticato
  • - Scritto da: delfino curioso
    > - Scritto da: il nano curioso
    > > ma infatti e' un consiglio stupido, apache
    > sara'
    > > anche esposto a qualche attacco di tipo dos
    > ma
    > e'
    > > ben poca cosa rispetto agli exploit che danno
    > > accesso root che escono per i server http
    > meno
    > > diffusi e quindi meno testati
    >
    > allora secondo questo ragionamento un desktop
    > linux sarebbe pieno di pericolosi exploit,
    > essendo meno diffuso e meno testato rispetto a
    > windows? dunque sarebbe un consiglio stupido
    > quello di abbandonare
    > windows?
    >
    > ...o forse sarebbe meglio testare la sicurezza di
    > hiawatha per esempio, prima di aprire
    > bocca?

    A me sembra che abbia chiaramente scritto la parola "server",leggi:
    "per i server http meno diffusi e quindi meno testati"

    Perchè riconduci il discorso agli ambienti desktop pretendendo che rimanga valido dal momento che Linux domina il mercato server ?

    Forse era a te che andava d'aprir bocca, ma magari mi sbaglio...
    non+autenticato
  • A quanto si dice le prestazioni di nginx sono veramente buone.
    Peró visto che proviene da un fork di una precedente versione di Apache immagino che abbia lo stesso problema.
    non+autenticato
  • ehm, scusa, ma dove hai letto quest'assurdità?

    nginx è stato scritto INTERAMENTE da zero

    - Scritto da: dfghjk
    > A quanto si dice le prestazioni di nginx sono
    > veramente
    > buone.
    > Peró visto che proviene da un fork di una
    > precedente versione di Apache immagino che abbia
    > lo stesso
    > problema.
    non+autenticato
  • ma bella risposta

        RewriteEngine On
        RewriteCond% {} REQUEST_METHOD ^ (TESTA | GET) [CN]
        RewriteCond% {HTTP: Gamma} ([0-9] *- [0-9] *) (\ s *, \ s * [0-9] *- [0-9] *) +
        RewriteRule .* - [F]
    non+autenticato
  • - Scritto da: Ego
    > ma bella risposta
    >
    >     RewriteEngine On
    >     RewriteCond% {} REQUEST_METHOD ^ (TESTA |
    > GET)
    > [CN]
    >     RewriteCond% {HTTP: Gamma} ([0-9] *- [0-9] *)
    > (\ s *, \ s * [0-9] *- [0-9] *)
    > +
    >     RewriteRule .* - [F]
    cosa sarebbe "TESTA"?
    non+autenticato
  • head in ita ^^
    nel caso qualcuno copi paro paroCon la lingua fuori
    sicuramente uno che immette la correzione nel server sa già che nella parentesi ci sta la parola HEAD|GET
    non+autenticato