Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Poważna luka w Apache załatana

Poważna luka w Apache załatana

Przedstawiciele projektu Apache zaktualizowali popularny open-source'owy serwer webowy. W najnowszej wersji Apache - oznaczonej numerem 2.2.20 - załatano poważny błąd, wykorzystywany m.in. przez narzędzia do zautomatyzowanego przeprowadzania ataków Denial of Service (DoS).

Przedstawiciele Apache już 24 sierpnia zobowiązali się, że usuną tę lukę w ciągu 48 godzin. Prace nad poprawką nieco się jednak przeciągnęły - termin jej udostępnienia przesunięto jeszcze dwa razy. W opublikowanym wraz z aktualizacją raporcie nie podano na razie szczegółowych informacji na temat błędu.

Opóźnienie w pracach nad patchem nie oznaczało jednak, że administratorzy serwerów wykorzystujących Apache byli przez ostatnie dni bezbronni - przedstawiciele organizacji przygotowali poradnik, w którym wyjaśniono, jak za pomocą odpowiednich zmian w ustawieniach tymczasowo zabezpieczyć oprogramowanie przed atakiem DoS.

Zobacz również:

  • Luka w zabezpieczeniach WordPress
  • Galaxy AI trafi nawet na 3 letnie flagowce Samsunga

"Uważamy wydanie 2.2.20 za najlepszą dostępną obecnie wersję Apache - dlatego też zalecamy wszystkim użytkownikom jego zainstalowanie" - tłumaczą przedstawiciele projektu. Co istotne, błąd usunięty z najnowszej wersji, istnieje również w starym wydaniu Apache 1.3 - nie zostanie on jednak usunięty, ponieważ oprogramowanie to nie jest już rozwijane i aktualizowane.

Dodajmy, że choć najnowsza aktualizacja usuwa z Apache lukę, z której korzystał program hakerski Apache Killer, to problem nie został do końca rozwiązany, ponieważ częściowo wynika on ze specyfiki samego protokołu HTTP. Gdy znany polski haker, Michał Zalewski, informował o jego wykryciu przed czterema laty, przedstawiciele Apache od razu zastrzegali, że jest to błąd projektowy HTTP, który w jakimś stopniu osłabia zabezpieczenia praktycznie każdego serwera webowego i że jedynym w 100% skutecznym rozwiązaniem problemu będzie wprowadzenie zmian do specyfikacji HTTP

"Apache należą się pochwały za tak szybkie i sprawne załatanie luki" - pochwalił firmę Chet Wisniewski, specjalista ds. bezpieczeństwa z brytyjskiej firmy Sophos. Inni eksperci zwracają jednak uwagę, że Apache jest standardowo dołączany do systemu Mac OS X - a to znaczy, że zdecydowana większość użytkowników komputerów Apple jeszcze przez pewien czas będzie podatna na atak (ponieważ Apple dostarcza aktualizacje z pewnym opóźnieniem).

Dodajmy, że wedle statystyk firmy Netcraft, obecnie ok. 65% wszystkich serwerów webowych wykorzystuje oprogramowanie Apache.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas