Notícia publicada por brain em junho 29, 2004 12:33 PM
| TrackBack
Se você usa o servidor web Apache configurado como proxy, é hora de um upgrade ou correção. Segundo a matéria do IDG Now, "A brecha de segurança afeta as versões 1.3.x do Apache configuradas como servidores proxy, responsáveis por transmitir informações entre o navegador e a internet. Segundo o especialista Georgi Guninski, que descobriu e divulgou o código malicioso, o servidor afetado é atacado apenas quando se conecta a uma página especialmente desenvolvida para explorar a falha. As versões 1.3.31, 1.3.29, 1.3.28, 1.3.27 e 1.3.26 são vulneráveis, enquanto na versão 1.3.32-dev a vulnerabilidade já foi corrigida. Administradores de sistema também podem resolver o problema desativando o módulo Proxy dos servidores Apache."
Por isso que eu falo. Se você quer segurança e estabilidade, mude para softwares livres.
Esses softwares fechados são todos bugados, blá, blá, blá.
Ah, quer dizer...
"No food for me"
Comentários trolls a parte, olhem a notícia:
"que abre espaço para hackers executarem códigos maliciosos remotamente e até mesmo travarem o sistema."
Desde quando "travar o sistema" é pior do que "executar códigos maliciosos remotamente"?
A classe de bugs que permite execução de código remoto está a cima, em termos de perigo, da classe de bugs que só permitem negação de serviço, até por que se você poder executar código remotamente nada impede que você realize um shutdown (caso o servidor rode como root), ou então mate o processo do servidor, o que teria o mesmo efeito de uma negação de serviço. Evidentemente, quando o bug permite execução de código remoto as possibilidades para o hacker[1] são muito maiores.
[1] Sim, hacker. Eu estou cagando para a definição sobre hacker/cracker/phreaker que você leu no geocities. A palavra hacker hoje em dia, além de ter o significado de programador, também tem o significado ligado a segurança, ou então a falta de segurança. Palavras mudam. Significados de palavras mudam. Idiomas mudam. Deal with it.
E só para terminar, segundo a página oficial do cara que descobriu o bug, ele só permite negação de serviço.
Vejam: http://www.guninski.com/httpd1.html
"DoS in apache httpd 2.0.49"
>enquanto na versão 1.3.32-dev a vulnerabilidade já foi corrigida
Esse povo é eficiente mesmo! :)
Mas quando será que essa versão se estabiliza?
Existe algum modo de corrigir a falha nas versõs antigas, alguma patch por exemplo?
que tipo de usuário é esse tal de "EU" que não tem nem coragem de assumir sua própria identidade ?
seria um informante ou espião da Microsuck !?
acho que esse tipo de comentário "dispensável" deveria ser removido da lista.
» Comentário de Cesar (200.207.152.xxx) em junho 30, 2004 10:36 AM
que tipo de usuário é esse tal de "EU" que não tem nem coragem de assumir sua própria identidade ?
seria um informante ou espião da Microsuck !?
» Comentário de Augusto Campos (200.193.47.xxx) em junho 30, 2004 10:48 AM
Não alimente os trolls...
hehehe
Normal softwares terem bugs.. pelo tamanhoooo que é o apache... ninguem eh perfeito tambem, hoje o que importa nao é quantidade de bugs e sim o tempo de correção... e manter-se informado sobre eles..
PS: apache nao eh software "fechado" ...
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.