Alfonso Maruccia

Apache, una falla da tappare

Una pericolosa vulnerabilità nella piattaforma server Web più diffusa al mondo potrebbe mettere a rischio risorse protette. Apache medita su una patch

Roma - Un ricercatore di Qualys ha identificato una nuova vulnerabilità zero-day all'interno del codice di Apache, un problema nella gestione della configurazione dei permessi non facile da sfruttare ma che potrebbe favorire l'accesso a risorse protette presenti all'interno della rete.

La vulnerabilità coinvolge le installazioni Apache configurate per operare in modalità "reverse proxy", un sistema usato per bilanciare il carico del traffico di rete e la distribuzione delle risorse su server multipli.

Se certe regole all'interno di moduli specializzati per lo scopo (come mod_proxy e mod_rewrite) non fossero impostate correttamente, dice il ricercatore Prutha Parikh, un malintenzionato potrebbe ottenere un accesso non autorizzato a risorse interne non pensate per la fruizione del pubblico.
Parikh ha scovato la vulnerabilità analizzando una patch pensata per risolvere un problema simile individuato nell'ottobre scorso, accorgendosi del fatto che la patch poteva essere aggirata sfruttando un bug nel trattamento degli indirizzi URI (Uniform Resource Identifier).

Per quanto riguarda la realizzazione di una patch utile a risolvere questo problema nel codice di Apache, gli sviluppatori del webserver stanno valutando il metodo migliore per implementare il fix - se sia cioè utile rafforzare la patch precedente o scriverne un'altra.

Alfonso Maruccia
Notizie collegate
  • TecnologiaAttenti all'Apache KillerI web server si ritrovano minacciati da un exploit che sfrutta una nota falla del software Apache. Rimasta scoperchiata per quattro anni, ma per cui esistono delle contromisure
9 Commenti alla Notizia Apache, una falla da tappare
Ordina