W Internecie pojawił się worm zagrażający systemom eksploatującym serwer webowy Apache pracujący na platformie FreeBSD. Na szczęście robak ma ograniczone możliwości rozprzestrzeniania się.

Według fińskiej firmy antywirusowej F-Secure worm wykorzystuje znaną lukę serwerów Apache metodą skanowanie przez Internet. Po znalezieniu nieszczelnego serwera instaluje aplikacje typu "tylne wejście". To tylne wejście pozwala atakującemu na zdalne sterowanie systemem i użycie go do ataku na inne serwery webowe.

Serwer Apache, dostępny w formule "open source", jest najpopularniejszym serwerem webowym, pracującym w prawie 63 proc. ośrodków webowych (według danych firmy Netcraft). Jednakże zasięg worma, nazwanego przez F-Secure Scalperem, jest ograniczony, ponieważ dotyczy serwerów Apache pracujących wyłącznie na platformie systemu operacyjnego open source FreeBSD, używanego przez stosunkowo małą liczbę użytkowników serwerów Apache (FreeBSD zajmuje trzecią pozycję po Linuksie i Solarisie).

Trzeba jednak mieć na uwadze fakt, że worma można łatwo zmienić, przystosowując go do pracy pod Linuksem i innymi systemami operacyjnymi, ale prawdopodobnie wtedy administratorzy serwerów Apache zaczną pilniej stosować dostępne już od pewnego czasu łatki programowe. Ponadto w ponad 6 milionach ośrodków, w których pracuje Apache uaktualniono to oprogramowanie do wersji 1.3.26, niepodatnej na ten atak. Jednakże nadal około 14 milionów ośrodków używających Apache jest potencjalnie narażona.

Usterka wykorzystywana przez worm dotyczy wszystkich wersji Apache 1.2, wersji Apache 1.3 do 1.3.24 oraz wersje Apache 2 do 2.0.36. Wersje Apache 1.3.26 i 2.0.39 zostały uszczelnione.

Usterka związana jest ze sposobem, w jaki serwer webowy przeprowadza analizę składniową sprowadzanych danych, który może powodować błędną interpretacje rozmiaru przychodzących danych.