Arquivos históricos do BR-Linux.org apresenta:

Vulnerabilidade no servidor web Apache

Notícia publicada por brain em junho 29, 2004 12:33 PM | TrackBack


Se você usa o servidor web Apache configurado como proxy, é hora de um upgrade ou correção. Segundo a matéria do IDG Now, "A brecha de segurança afeta as versões 1.3.x do Apache configuradas como servidores proxy, responsáveis por transmitir informações entre o navegador e a internet. Segundo o especialista Georgi Guninski, que descobriu e divulgou o código malicioso, o servidor afetado é atacado apenas quando se conecta a uma página especialmente desenvolvida para explorar a falha. As versões 1.3.31, 1.3.29, 1.3.28, 1.3.27 e 1.3.26 são vulneráveis, enquanto na versão 1.3.32-dev a vulnerabilidade já foi corrigida. Administradores de sistema também podem resolver o problema desativando o módulo Proxy dos servidores Apache."

 

Comentários dos leitores
(Termos de Uso)

» Eu () em 29/06 17:24

Por isso que eu falo. Se você quer segurança e estabilidade, mude para softwares livres.

Esses softwares fechados são todos bugados, blá, blá, blá.

Ah, quer dizer...


"No food for me"


» Eu () em 29/06 17:32

Comentários trolls a parte, olhem a notícia:

"que abre espaço para hackers executarem códigos maliciosos remotamente e até mesmo travarem o sistema."

Desde quando "travar o sistema" é pior do que "executar códigos maliciosos remotamente"?

A classe de bugs que permite execução de código remoto está a cima, em termos de perigo, da classe de bugs que só permitem negação de serviço, até por que se você poder executar código remotamente nada impede que você realize um shutdown (caso o servidor rode como root), ou então mate o processo do servidor, o que teria o mesmo efeito de uma negação de serviço. Evidentemente, quando o bug permite execução de código remoto as possibilidades para o hacker[1] são muito maiores.


[1] Sim, hacker. Eu estou cagando para a definição sobre hacker/cracker/phreaker que você leu no geocities. A palavra hacker hoje em dia, além de ter o significado de programador, também tem o significado ligado a segurança, ou então a falta de segurança. Palavras mudam. Significados de palavras mudam. Idiomas mudam. Deal with it.


» Eu () em 29/06 17:35

E só para terminar, segundo a página oficial do cara que descobriu o bug, ele só permite negação de serviço.

Vejam: http://www.guninski.com/httpd1.html

"DoS in apache httpd 2.0.49"


» Rodrigo Romano () em 29/06 18:45

Só essa linha no http.conf resolveria?

ProxyRequests Off


» EdCrypt () em 30/06 05:52

>enquanto na versão 1.3.32-dev a vulnerabilidade já foi corrigida
Esse povo é eficiente mesmo! :)
Mas quando será que essa versão se estabiliza?
Existe algum modo de corrigir a falha nas versõs antigas, alguma patch por exemplo?


» Cesar () em 30/06 10:36

que tipo de usuário é esse tal de "EU" que não tem nem coragem de assumir sua própria identidade ?

seria um informante ou espião da Microsuck !?


» Augusto Campos () em 30/06 10:48

Não alimente os trolls...


» Cesar () em 30/06 11:18

acho que esse tipo de comentário "dispensável" deveria ser removido da lista.


» Eu () em 01/07 18:13

» Comentário de Cesar (200.207.152.xxx) em junho 30, 2004 10:36 AM

que tipo de usuário é esse tal de "EU" que não tem nem coragem de assumir sua própria identidade ?

seria um informante ou espião da Microsuck !?


» Comentário de Augusto Campos (200.193.47.xxx) em junho 30, 2004 10:48 AM

Não alimente os trolls...


hehehe


» Alexandre () em 02/07 01:07

Normal softwares terem bugs.. pelo tamanhoooo que é o apache... ninguem eh perfeito tambem, hoje o que importa nao é quantidade de bugs e sim o tempo de correção... e manter-se informado sobre eles..

PS: apache nao eh software "fechado" ...


Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.



O Arquivo Histórico do BR-Linux.org mantém no ar (sem alteração, exceto quanto à formatação, layout, tabela de caracteres, etc.) o acervo de notícias, artigos e outros textos publicados originalmente no site na segunda metade da década de 1990 e na primeira década do século XXI, que contam parte considerável a história do Linux e do Open Source no Brasil. Exceto quando indicado em contrário, a autoria dos textos é de Augusto Campos, e os termos de uso podem ser consultados na capa do BR-Linux.org. Considerando seu caráter de acervo, é provável que boa parte dos links estejam quebrados, e que as informações deste texto estejam desatualizadas.