- Scritto da: Darth Vader

> Allora cambiamo i cattivi amministratori non
> il web server.
>
> Chi è senza peccato scagli la prima pietra:
>
> Apache - Windows Equivalent, Core IIS
> Services
> *    2001-07-10: Apache Possible Directory
> Index Disclosure Vulnerability
> *    2001-07-02: Apache Tomcat Cross-Site
> Scripting Vulnerability
> *    2001-06-10: MacOS X Client Apache File
> Protection Bypass Vulnerability
> *    2001-04-12: Apache Web Server HTTP Request
> Denial of Service Vulnerability
> *    2001-03-28: Apache Tomcat 3.0 Directory
> Traversal Vulnerability
> *    2001-03-28: Multiple Vendor URL JSP
> Request Source Code Disclosure Vulnerability
> *    2001-03-13: Apache Artificially Long Slash
> Path Directory Listing Vulnerability
> PHP - Windows Equivalent to ASP.DLL
[...]

Vero.
Il problema che però non si considera è un altro:
nessun software è immune da vulnerabilità. Se dall'altra parte del socket c'è uno che vuole entrare, entra. Sull'80% dei sistemi. Ed è il caso di molte delle vulnerabilità che citi (se non tutte). Ciononostante voglio trovarmi di fronte a qualcuno che ci faccia un worm.
Apache ha avuto (e avrà) le sue vulnerabilità.
Ma è un sw che gira su sistemi completamente diversi tra loro. Lo shellcode per una macchina Linux x86 è diverso da quello di una macchina RS/6000 AIX.
La struttura delle directory, è diversa. Gli utenti associati ai servizi sono diversi. E così i loro permessi.
Trovami, sulla faccia della rete, 2 sistemi uguali tra loro...

Per windows non è così. Liddove la configurazione del servizio e la ua installazione siano gestiti dalla macchina per l'amministratore, è evidente che IIS = windows NT/2000. E vuol dire anche stesso shellcode, stesse vulnerabilità, stesse configurazioni di default, stessa organizzazione delle directory ecc. ecc. ecc...

Ecco perchè un worm fatto per IIS 4.0 attacca ovunque non ci sia l'apposita patch. Un eventuale worm (come è stato ramen) attacca SOLO le macchine Linux redhat 6.2 con QUEL server dns, QUEL server FTP, ognuno dei tre non patchato.

Le conclusioni e le conseguenze di ciò, poi, ognuno le tiri per i fatti suoi...