Alla fine di agosto un software malevolo scritto in Perl, chiamato Killer Apache , ha messo in crisi il famoso web server HTTP sfruttando una vulnerabilità inspiegabilmente trascurata. Dato che il bug arriva a contagiare i prodotti Oracle che incorporano il software open source, la società ha rilasciato un’apposita patch fuori programma.
Anche in questo caso si parla di rischio DoS (denial of service), con attacchi eseguibili a distanza che finiscono con l’esaurire la memoria disponibile nel sistema, inviando al server molteplici richieste con valori di Range Header illeciti.
I prodotti Oracle che necessitano della cura sono Fusion Middleware 11g Release 1 (versioni 11.1.1.3.0, 11.1.1.4.0 e 11.1.1.5.0) Application Server 10g Release 3 (versione 10.1.3.5.0) e Oracle Application Server 10g Release 2 (versione 10.1.2.3.0).
Normalmente ad ogni richiesta del client vengono svolte della funzioni specifiche ma per contrastare l’insidioso problema la Internet Engineering Task Forc (IETF) sta anche pensando di limitare le possibilità dell’HTTP.
Roberto Pulito