Megkapta a foltját az Apache

A Biztonságportálon a múlt héten számoltunk be arról, hogy az Apache webszerverek ellen egyre több szolgáltatásmegtagadási támadás indult. A DoS akciók során a támadók az Apache egyik sebezhetőségét igyekeztek kihasználni, amelynek hatására a kiszolgálók összeomlását tudták előidézni. A mostani, nagyobb számú támadáshoz elsősorban egy Apache Killer nevű program járult hozzá, amelynek segítségével könnyedén lehet kihasználni a sérülékenységet. Ráadásul mindezt úgy, hogy nem is kell túlzottan nagy hálózati adatforgalmat generálni ahhoz, hogy egy sebezhető szerver megbénuljon.

Az Apache fejlesztői augusztus 24-én azt ígérték, hogy 48 órán belül elérhetővé teszik a biztonsági rés befoltozásához szükséges hibajavításokat. Azonban a patch-ek fejlesztése és tesztelése némileg több időt vett igénybe. Az elérhetővé tett frissítések az Apache 2.2-höz jelentek meg, és azokat a 2.2.20-as kiadás tartalmazza. Ahogy azt korábban a fejlesztők jelezték, az 1.3-as változatokhoz már nem tettek letölthetővé javításokat, ugyanakkor fontos megemlíteni, hogy e régebbi kiadások is sebezhetők.

Az Apple egyelőre nem nyilatkozott azzal kapcsolatban, hogy a Mac OS X frissítései között mikor fog elérhetővé válni az Apache legújabb, Mac kompatibilis kiadása. Amíg ez nem történik meg, addig mindenképpen célszerű fontolóra venni az Apache fejlesztői által javasolt kockázatcsökkentő lehetőségek alkalmazását.

Az Apache kiemelte: könnyen elképzelhető, hogy a sérülékenység korántsem csak az Apache alapú kiszolgálókat érinti, ugyanis a hiba gyökerei magában a HTTP protokollban keresendők. A problémát az IETF (Internet Engineering Task Force) szakemberei is vizsgálják.