Corretti bug in Apache

Uno piuttosto serio

Roma - La Apache Software Foundation (ASF) ha rilasciato versioni aggiornate del proprio Web server open source che correggono una seria falla di sicurezza nelle versioni 1.3.26, 1.3.27, 1.3.28, 1.3.29 e 1.3.31 configurate come proxy server, ed un bug minore nelle versioni precedenti alla 2.0.50.

Il primo problema, classificato come "important", consiste in un buffer overflow nel modulo mod_proxy che può essere innescato da remoto. Secondo un advisory della ASF, c'è la possibilità che l'exploit possa essere utilizzato per eseguire del codice.

Il secondo problema, descritto qui, è un exploit remoto che può essere sfruttato da un aggressore per lanciare attacchi di tipo denial of service.
TAG: sicurezza
44 Commenti alla Notizia Corretti bug in Apache
Ordina
  • Ho perso ben 10 min di lavoro oggi per aggiornare tutti i server ma non potrebbero fare piu' attenzione !!!Arrabbiato
    non+autenticato
  • Guardatevi le statistiche aggiornate:

    http://news.netcraft.com/archives/2004/07/01/july_...

    il trend è chiaro: Apache cresce e IIS scende inesorabilmente.....
    non+autenticato

  • - Scritto da: Anonimo
    > Guardatevi le statistiche aggiornate:
    >
    > news.netcraft.com/archives/2004/07/01/july_20
    >
    > il trend è chiaro: Apache cresce e
    > IIS scende inesorabilmente.....

    Infatti mi chiedo se Punto Informatico passera` su Apache.
    Certo ormai hanno scritto tutto in ASP... peccato.
    non+autenticato

  • - Scritto da: Alex¸tg
    >
    > - Scritto da: Anonimo
    > > Guardatevi le statistiche aggiornate:
    > >
    > >
    > news.netcraft.com/archives/2004/07/01/july_20
    > >
    > > il trend è chiaro: Apache cresce
    > e
    > > IIS scende inesorabilmente.....
    >
    > Infatti mi chiedo se Punto Informatico
    > passera` su Apache.
    > Certo ormai hanno scritto tutto in ASP...
    > peccato.

    beh .. c'e' sempre una bella Sun Chili!ASP
    che gira su unixA bocca aperta

  • - Scritto da: Kheru
    >
    > - Scritto da: Alex¸tg
    > >
    > > - Scritto da: Anonimo
    > > > Guardatevi le statistiche
    > aggiornate:
    > > >
    > > >
    > >
    > news.netcraft.com/archives/2004/07/01/july_20
    > > >
    > > > il trend è chiaro: Apache
    > cresce
    > > e
    > > > IIS scende inesorabilmente.....
    > >
    > > Infatti mi chiedo se Punto Informatico
    > > passera` su Apache.
    > > Certo ormai hanno scritto tutto in
    > ASP...
    > > peccato.
    >
    > beh .. c'e' sempre una bella Sun Chili!ASP
    > che gira su unixA bocca aperta

    Togli il bella
    non+autenticato
  • > Infatti mi chiedo se Punto Informatico
    > passera` su Apache.
    > Certo ormai hanno scritto tutto in ASP...
    > peccato.

    Non conosco la parte di backOffice, ma l'intefaccia di pi che vedo sembra abbastanza banalozza anche da sviluppare in pseudolinguaggi come il php.
    non+autenticato

  • - Scritto da: Anonimo
    > > Infatti mi chiedo se Punto Informatico
    > > passera` su Apache.
    > > Certo ormai hanno scritto tutto in
    > ASP...
    > > peccato.
    >
    > Non conosco la parte di backOffice, ma
    > l'intefaccia di pi che vedo sembra
    > abbastanza banalozza anche da sviluppare in
    > pseudolinguaggi come il php.

    Mah... a occhio e croce non e` neanche una cosa tanto banale. Probabilmente la gestione del database di notizie e` abbastanza complicata. E anche i forum hanno messaggeria privata e varie feature minori. Certo "a prima vista" io fossi in loro cambierei il layout... mi piacerebbe un po' di grafica nuova... senza tanto caricare la banda... pero` 'sto bianco coi linkini della navbar piccoli piccoli... e poi non mi piace il layout a larghezza fissa... e poi non mi piace il font, ci metterei un trebuchet come prima scelta... magari configurabile dal profilo... ma magari in fondo e` vero che squadra che vince non si cambia...
    non+autenticato

  • - Scritto da: Alex¸tg
    > Infatti mi chiedo se Punto Informatico
    > passera` su Apache.
    > Certo ormai hanno scritto tutto in ASP...
    > peccato.

    Io credo che il deAndreis abbia amici impegnati (tra le tante cose) nella promozione del software libero che potrebbero anche fargli una donazione di questo tipo. Mi sbaglio?
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Alex¸tg
    > > Infatti mi chiedo se Punto Informatico
    > > passera` su Apache.
    > > Certo ormai hanno scritto tutto in
    > ASP...
    > > peccato.
    >
    > Io credo che il deAndreis abbia amici
    > impegnati (tra le tante cose) nella
    > promozione del software libero che
    > potrebbero anche fargli una donazione di
    > questo tipo. Mi sbaglio?

    Beh... se è per questo una licenza Apache posso regalargliela anche io.... Sorride
    non+autenticato
  • Con i sui bug si riesce a fare molto di piu' e' molto piu' "cracker friendly"
    non+autenticato

  • - Scritto da: Anonimo
    > Con i sui bug si riesce a fare molto di piu'
    > e' molto piu' "cracker friendly"


    vuoi mettere "faccio di più con meno" .. smando tanta merda
    (i keylogger .. per beccare le password e carte di credito) con meno (sminchio la pagina di un solo isp e i visitatori di quel sito sono molto contenti di collaborare alla causaA bocca aperta ) vuoi mettere il risparmio di tempo ? altro che 5c a transazioneA bocca aperta
  • Di sicuro IIS6 è + stabile e potente di apache, ha pochissimi bug e non ci sono paragoni!
    Certo, apache è migliore di IIS5... devo ammettere che la versione 5 è troppo buggata e si impalla spesso.... nulla a che vedere con la versione 6 !
    non+autenticato
  • Ma smettila, i security advisor che escono per IIS5 e le relative fix sono da applicare tutte (ripeto tutte) anche su IIS6, quindi non so che cosa abbia di più sicuro. Non ce la farete a renderlo sicuro neanche con IIS7, 8 e 9. E al 10 spero che M$ sia sparita.
    non+autenticato
  • evidentemente non ci lavori, e' meglio solo a parole.... ha un camion di problemi, problemi con le sessioni che scadono prima del tempo impostato, pool che si bloccano , gestione dei pool che consuma una valanga di memoria , problemi con la nuova gestione dei pool di applicazioni che non riparte e fa bloccare tutto il sistema, ms jet che non ti consente piu' di un certo numero di sessioni.
    Lascia perdere... chi ci lavora sa che prima di passare a iis6 devi farti 10 segni della croce e metterti a riscrivere tutto il codice....
    Per non dire che se fai una segnalazione a microsoft, ti dicono che e' un problema di hardware prima.... ( ma se ho comprato il server con 2003 oem per evitare questo?) e poi incominciano una filippica su come il codice avra' dei problemi e bla bla bla.... fatto sta che prima con iis 5 questi problemi non c'erano... e loro cosa ti rispondono. c'erano sicuramente solo che non si vedevano....
    a casa mia non vedere un problema che non si mostra equivale a non averne...
    non+autenticato
  • - Scritto da: Anonimo
    > evidentemente non ci lavori, e' meglio solo
    > a parole.... ha un camion di problemi,
    > problemi con le sessioni che scadono prima
    > del tempo impostato, pool che si bloccano ,
    > gestione dei pool che consuma una valanga di
    > memoria , problemi con la nuova gestione dei
    > pool di applicazioni che non riparte e fa
    > bloccare tutto il sistema, ms jet che non ti
    > consente piu' di un certo numero di
    > sessioni.
    > Lascia perdere... chi ci lavora sa che prima
    > di passare a iis6 devi farti 10 segni della
    > croce e metterti a riscrivere tutto il
    > codice....
    > Per non dire che se fai una segnalazione a
    > microsoft, ti dicono che e' un problema di
    > hardware prima.... ( ma se ho comprato il
    > server con 2003 oem per evitare questo?) e
    > poi incominciano una filippica su come il
    > codice avra' dei problemi e bla bla bla....
    > fatto sta che prima con iis 5 questi
    > problemi non c'erano... e loro cosa ti
    > rispondono. c'erano sicuramente solo che non
    > si vedevano....
    > a casa mia non vedere un problema che non si
    > mostra equivale a non averne...

    Se hai la licenza oem non ti rispondono nemmeno... Non c'è alcuna assistenza con quel tipo di licenza.
    non+autenticato

  • - Scritto da: Anonimo
    > evidentemente non ci lavori,

    io ci lavoro e mi trovo molto bene

    > ha un camion di problemi,
    > problemi con le sessioni che scadono prima
    > del tempo impostato,

    Se lo shutdown del worker process è impostato ad un valore più basso del timeout di sessione mi sembra abbastanza logico.

    > pool che si bloccano, gestione dei pool che consuma una > valanga di memoria ,

    Probabilmente hai timeout di sessione e/o recycling del worker process troppo alti.

    > problemi con la nuova gestione dei
    > pool di applicazioni che non riparte e fa
    > bloccare tutto il sistema,

    Puoi darmi qualche dettaglio in piu? le pagine html statiche vengono comunque servite ?

    > ms jet che non ti
    > consente piu' di un certo numero di
    > sessioni.

    Ms Jet non limita le sessioni, casomai le connessioni. Il connection-pooling è cosa diversa dall'application pooling.

    > Lascia perdere... chi ci lavora sa che prima
    > di passare a iis6 devi farti 10 segni della
    > croce e metterti a riscrivere tutto il
    > codice....

    Non tutto è male: IIS5 "passava sopra" a molte schifezze di codice. Qui bisogna solo stare un po' più attenti.

    > Per non dire che se fai una segnalazione a
    > microsoft, ti dicono che e' un problema di
    > hardware prima.... ( ma se ho comprato il
    > server con 2003 oem per evitare questo?) e

    In genere faccio sempre prima con Google.

    > poi incominciano una filippica su come il
    > codice avra' dei problemi e bla bla bla....
    > fatto sta che prima con iis 5 questi
    > problemi non c'erano... e loro cosa ti
    > rispondono. c'erano sicuramente solo che non
    > si vedevano....

    Purtroppo è vero.

    > a casa mia non vedere un problema che non si
    > mostra equivale a non averne...

    A me si è spezzata la cinghia della distribuzione della macchina: danno abbastanza fastidioso. Il meccanico mi ha detto : "ma non si è accorto che faceva rumore ?". No, non mi si accendeva alcuna spia e io vado sempre con i vetri chiusi, l'aria condizionata e la radio a palla. Non avevo nessun problema e la macchina andava bene.

    Anlan
    1327
  • mi ero scordato una serie di cose che non sono documentate e che devi andare a scavare nel meta file, per non dire la totale assenza di debug affidabile , cosa che invece funzionava alla grande con iis5, in buona sostanza io con iis5 sono stato 2 anni mandando avanti la macchina buona buona... ora con iis6 mi devo controllare i siti ogni 2 ore per sapere se girano o se hanno deciso di fermarsi.
    certo qui non posso spiegare in dettaglio che difetti ha, ma ti posso dire che ho impiegato 4 mesi per ridare una parvenza di stabilita'..
    per non dire che il riciclo dei pool manda in palla le sessioni.
    con la diversificazione dei pool ovviamente e' stato una tragedia per tutti quelli che usavano un unico database per molti siti.
    non puoi aumentare il webgarden perche' non mantiene staticamente le sessioni, non puoi attivare il riciclo del pool perche' ti butta fuori dalla session.
    Rallenta le application perche' se condividi la stessa connessione al db con due pool diversi quello con un numero maggiore di richieste prende il sopravvento , blocca il db e causa il crash al secondo pool.
    ed ovviamente anche abilitando la scrittura degli errori asp sul registro delle applicazioni , non ti dice in quale dei 20 siti si trova, se non addirittura scrive un non meglio identificato errore 500 in non si sa quale, poi ovviamente ti incomincia a dire una serie di polpette su come asp.dll sia rovinato perche' ha scartato il 70% delle richieste e bla bla bla... peccato che se ricicli i pool tutto funziona perfettamente.
    certo ci sono anche dei lati positivi come i backup dei siti con relativo sistema di ripristino ed esportazione, mi hanno sicuramente facilitato la vita, anche se non si capisce come gestisce quel numero identificativo del sito... insomma forse da iis7 in poi se ne puo' parlare, fino ad allora credo che sia da considerare dietro ad apache .
    non+autenticato

  • - Scritto da: Anonimo
    > Di sicuro IIS6 è + stabile e potente
    > di apache, ha pochissimi bug e non ci sono
    > paragoni!
    > Certo, apache è migliore di IIS5...
    > devo ammettere che la versione 5 è
    > troppo buggata e si impalla spesso.... nulla
    > a che vedere con la versione 6 !

    sei simpatico
    non+autenticato

  • - Scritto da: Anonimo
    > Di sicuro IIS6 è + stabile e potente
    > di apache, ha pochissimi bug e non ci sono
    > paragoni!
    > Certo, apache è migliore di IIS5...
    > devo ammettere che la versione 5 è
    > troppo buggata e si impalla spesso.... nulla
    > a che vedere con la versione 6 !

    :D

    mi sto pisciando sotto dal ridere ...

    :D:D:D:D:D:D:D:D:D:D:D:D:D:D:D

    e c'è pure gente che crede che stiano così le cose ... e ci spende milioni di euro per quella fetecchia che e' IIS*
    (alla prossima ..... falla di iis/ieOcchiolino )
  • Visto ke anke Apache è bukabile kome IIS
    anzi di più è una groviera di bugs.
    Fan Windows
    non+autenticato


  • - Scritto da: Anonimo
    > Visto ke anke Apache è bukabile kome
    > IIS
    > anzi di più è una groviera di
    > bugs.
    > Fan Windows

    ecco, appunto... non sono passati 7 minuti da quando avevo scritto il messaggio EHI!
    non+autenticato

  • - Scritto da: Anonimo
    > Visto ke anke Apache è bukabile kome
    > IIS
    > anzi di più è una groviera di
    > bugs.
    > Fan Windows

    io l'ho sempre detto.....il buffer overflow molto spesso è frutto di applicativi scritti male!!!!!
    di persone che il c lo hanno imparato così così ma non in maniera professionale..persone che non conoscono i terminatori di stringhe....a che bello quanto un appz lo fanno degli hobbysti (tra i quali ci saranno anche persone competenti, ma ci saranno anche i programmatori della domenica)Sorride:):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):):)
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Visto ke anke Apache è bukabile
    > kome
    > > IIS
    > > anzi di più è una
    > groviera di
    > > bugs.
    > > Fan Windows
    >
    > io l'ho sempre detto.....il buffer overflow
    > molto spesso è frutto di applicativi
    > scritti male!!!!!

    Vero.

    > di persone che il c lo hanno imparato
    > così così ma non in maniera
    > professionale..persone che non conoscono i
    > terminatori di stringhe....a che bello

    Uhm... non credo che a quei livelli esistano quelli che non conoscono i terminatori di stringhe, comunque si potrebbe opinare che in primo luogo e` il c ad essere un linguaggio approssimativo e impreciso. Non rende visibili i terminatori di stringhe, per esempio. In assembly:

    stringa db "mio messaggio", 0

    il terminatore (0) lo vedi.
    Invece in c:

    char *stringa = "mio messaggio";

    non c'e`. O meglio c'e`, per tacito intervento del compilatore.
    Il c e` un pessimo linguaggio, e le sue evoluzioni OOP sono considerate ridicole da alcuni fra gli analisti piu` esperti (e ripudiati). Il c, e specialmente il c++, e` formalmente incoerente, approssimativo, e puo` rendere un sorgente inutilmente tortuoso.

    http://decidedlyodd.com/cpp.html

    scaricare il PDF a cui un link rimanda.
    A parlare e` gente competente.

    > quanto un appz lo fanno degli hobbysti (tra
    > i quali ci saranno anche persone competenti,
    > ma ci saranno anche i programmatori della
    > domenica)
    >Sorride:):):):):):):):):):):):):):):):):):):):):):

    Mah, in genere la tendenza dei "programmatori della domenica" e` fiondarsi sul VisualBasic per farsi le ossa ed approdare, magari, in futuro, sul c. Al termine del viaggio ci si rende conto che anche il c non e` quel granche`, anche se virtualmente "fa girare il mondo", ma appunto guarda quanti problemi ci sono, al mondo, in questo settore... certo non e` tutta colpa sua, ma probabilmente ha un ruolo.
    non+autenticato

  • - Scritto da: Alex¸tg
    >
    > Il c e` un pessimo linguaggio, e le sue
    > evoluzioni OOP sono considerate ridicole da
    > alcuni fra gli analisti piu` esperti (e
    > ripudiati). Il c, e specialmente il c++, e`
    > formalmente incoerente, approssimativo, e
    > puo` rendere un sorgente inutilmente
    > tortuoso.

    E quale sarebbe un linguaggio migliore del C?

    spero non quello che sto pensando io.......
    non+autenticato

  • - Scritto da: Anonimo

    > E quale sarebbe un linguaggio migliore del C?
    >
    > spero non quello che sto pensando io.......

    Ce ne sono tanti, tutto dipende da cosa bisogna fare. Tanto per dire non capisco perché server web, tipo apache, continuino a svilupparli con linguaggi come il C o il C++, quando esisterebbero (sich! purtroppo solo a livello accademico) linguaggi intrinsecamente distribuiti e concorrenti che permetterebbero (IMHO) una maggiore scalabilità ed un codice maggiormente esente da bugs.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Alex¸tg
    > >
    > > Il c e` un pessimo linguaggio, e le sue
    > > evoluzioni OOP sono considerate
    > ridicole da
    > > alcuni fra gli analisti piu` esperti (e
    > > ripudiati). Il c, e specialmente il
    > c++, e`
    > > formalmente incoerente, approssimativo,
    > e
    > > puo` rendere un sorgente inutilmente
    > > tortuoso.
    >
    > E quale sarebbe un linguaggio migliore del C?
    >
    > spero non quello che sto pensando io.......

    Non so a cosa tu stessi pensando.
    Molti linguaggi di vecchia data erano piu` coerenti, il Pascal potrebbe essere un buon esempio. Ma non perfetti, solo piu` coerenti del c. Il linguaggio migliore, il migliore in definitiva, deve ancora essere inventato, e magari POTREBBE discendere dal c. Le mie critiche (e quelle di altri) alla famiglia c/c++ vogliono solo puntare il dito su svariati problemi che li affliggono. Vero che alla fine e` principalmente l'uomo a essere imperfetto, ma cavolo... possiamo cercare di rendere le imperfezioni piu` rare, progettando un linguaggio piu` razionalmente organizzato, in modo da limitare l'inquinamento del codice con bugs come il buffer overflow. Che diamine, in questo e` piu` sicuro addirittura il Basic, che esegue un controllo nel runtime per una "subscript out of range", anche se questo tipo di controlli e` deleterio per le performance, quindi quello si puo' vedere (o almeno io lo vedo) come un rimedio peggiore del male. Bisognerebbe rifletterci, insomma. Personalmente ho il mio linguaggio, una specie di assembly cross-platform, ma e` un linguaggio che non vuole rimpiazzare il c, scritto per usi diversi, e idealmente piacevole solo per me. L'idea del cross-platform assembly, un codice semplice ed universale, e` molto in voga oggi, specie nei dintorni della IBM, ove i Software Abstraction Layers del Java sono nati in primo luogo.
    non+autenticato

  • - Scritto da: Alex¸tg
    >
    > decidedlyodd.com/cpp.html
    >
    > scaricare il PDF a cui un link rimanda.
    > A parlare e` gente competente.

    "To cite others, C++ is clearly the work of the devil and it sucks too"

    Questi others sono dei falliti come lo è l'autore dell'articolo, tutto qua, l'unica sua rivalsa è quella squallida pagina.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Alex¸tg
    > >
    > > decidedlyodd.com/cpp.html
    > >
    > > scaricare il PDF a cui un link rimanda.
    > > A parlare e` gente competente.
    >
    > "To cite others, C++ is clearly the work of
    > the devil and it sucks too"
    >
    > Questi others sono dei falliti come lo
    > è l'autore dell'articolo, tutto qua,
    > l'unica sua rivalsa è quella
    > squallida pagina.

    Be', magari loro ci sono andati giu` un po' troppo duri. Dire che qualcosa semplicemente "sucks" e` un po' troppo generico, non serve a nulla e in effetti e` probabilmente solo uno sfogo. Pero' hai letto quel PDF? Mette in chiaro molti, forse tutti, i reali problemi del c++, e anche del c tout-court. La discussione in quel file e` molto razionale, e non offende nessuno: si limita a evidenziare i fatti, ovvero le varie incoerenze del linguaggio.
    non+autenticato

  • - Scritto da: Anonimo
    > Visto ke anke Apache è bukabile kome
    > IIS
    > anzi di più è una groviera di
    > bugs.
    > Fan Windows
    Già peccato che il bug riguardi un modulo (guarda caso disattivato sui miei server) che viene usato solo per far fare ad apache da proxy, informati meglio prima di sparar cazzate grazie
    non+autenticato


  • - Scritto da: Anonimo
    > Visto ke anke Apache è bukabile kome
    > IIS
    > anzi di più è una groviera di
    > bugs.
    > Fan Windows

    vai e vedere il web survey su netcraft e patiscici ignorante
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)