Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Apache alerta para ataque de negação de serviço à solta

Os desenvolvedores do servidor web Apache enviaram um alerta sobre um novo ataque de negação de serviço que vem sendo ativamente explorado. O ataque é bastante eficiente, permitindo que um único cliente consuma vastas quantidades de recursos do servidor com poucas requisições. Uma correção completa é esperada em um prazo de 48h, mas a mensagem de alerta oferece várias opções de configuração que permitem mitigar o risco nos servidores potencialmente expostos. (via lwn.net)


• Publicado por Augusto Campos em 2011-08-25

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Guaracy Monteiro (usuário não registrado) em 25/08/2011 às 2:58 pm

    Aqui o negócio é complicado. Eles prometem em 48 horas como se fosse grande coisa. O problema já é conhecido há séculos e eles não fizeram nada. A minha dúvida seria: quantos outros bugs do tempo do telégrafo existem e ainda não foram corrigidos e quantos programas existem na mesma situação?

    Rafael Gomes (usuário não registrado) em 25/08/2011 às 3:17 pm

    @Guaracy

    Lembre que isso é código aberto, se está incomodado ao ponto de reclamar aqui, poderia reforçar seu interesse no bug track com envio de algum patch ou caso não seja conhecedor de desenvolvimento, poderia ao menos patrocinar um desenvolvedor para fazê-lo por você.

    Brivaldo Junior (usuário não registrado) em 25/08/2011 às 3:18 pm

    Slowloris?

    Guaracy Monteiro (usuário não registrado) em 25/08/2011 às 3:47 pm

    @Rafael, plz me poupe! Esse negócio de DIY é só para se eximir de responsabilidades.

    Mas como disse o Zalewski¹, bom que eles estão corrigindo o problema.

    ¹http://seclists.org/fulldisclosure/2011/Aug/270

    henry (usuário não registrado) em 25/08/2011 às 4:13 pm

    @Guaracy Monteiro, o software é livre e é distribuído de graça.

    Se está incomodando você, deixe de usar ou conserte você mesmo ou pague alguém para isso. Essa é a filosofia do SL. Ou vc não sabia?

    Afinal, já chega dessa mentalidade infantil dos anos 90 de que software livre nasce em árvore e não custa nada para ninguem, né?

    lk (usuário não registrado) em 25/08/2011 às 4:21 pm

    Guaracy, um “plz me poupe” não muda o fato que você pode contribuir e isso, definitivamente, não é “se eximir de responsabilidades”. Na verdade é apontar o obvio, com o acesso ao código-fonte, qualquer um com conhecimento técnico é capaz de alterar qualquer coisa.

    Amarok (usuário não registrado) em 25/08/2011 às 4:45 pm

    @Guaracy Monteiro,

    Já que você gosta de cobrar as coisas de um projeto de software livre feito por voluntários como se fosse uma empresa, sugiro que você use algum outro servidor web comercial, PAGUE o suporte da respectiva empresa e EXIJA seus direitos de consumidor.

    Muitas empresas grandes pagam rios de dinheiro a empresas como IBM

    http://www-01.ibm.com/software/br/websphere/products/webserver/appserv/wasproductline/

    para ter o direito de exigir alguma coisa e tirar o seu da reta quando há um problema com o produto.

    Quantas coisas a gente paga na vida por serviços comerciais e tem dores de cabeça na hora de ter seus direitos de consumidor respeitados ?

    Dyego Souza do Carmo (usuário não registrado) em 25/08/2011 às 5:45 pm

    é aquela coisa…

    Enquanto não tem nenhum problemas: VOCE PAGOU POR SOFTWARE ? ENTÃO É BURRO POR NAO USAR ALGO LIVRE…

    Quando tem coisas deste tipo voce recebe um: VOCE QUER ALGO COM ESTE NIVEL DE COMPROMETIMENTO ? ENTÃO PAGUE

    aí vc paga e o mesmo “FSF Boy” vem com a frase acima….

    é praticamente um loop infinito…

    Muita bobagem sendo dita.

    Sobre suporte: Open source não quer dizer “sem suporte profissional”.

    Mas parea suporte profissional paga-se.

    O Apache Web Server possui milhares de empresas no mundo todo fornecedoras de suporte.

    Paga-se e ponto final.

    Spif (usuário não registrado) em 25/08/2011 às 8:31 pm

    “Vai lá e resolve o bug, seu sanguessuga maldito!”, diz o inflamado fã de software livre, se esquecendo que não são todas as pessoas que fazem isso, ou até mesmo de simplesmente compilar um software. O inflamado fã de software livre (que vamos chamar aqui de “nervosinho”, para encurtar) acha que o software está acima de qualquer crítica, pois ele é “gratuíto”. “Nervosinho”, no alto da sua fúria, se esquece também que ele sempre gosta de quando mais pessoas usam o software preferido dele.

    “Desenvolvedores preguiçosos! Ficaram esse tempo todo sentados no problema ao invés de trabalhar! Quantas porcarias vão aparecer mais nesse código?!?! Isso é um absurdo!” diz o Cliente Revoltado (que vamos chamar de “revoltadinho”). Revoltadinho se esquece de quanto poupou quando assinou aquela hospedagem em Apache e o Linux para aquele site com que ele criou para a sua loja de comida para cachorro. Se esquece de toda os dias feliz que ele vendeu os seus produtos pela internet, quando os seus competidores estavam com sites precários, apesar de pagar mais uns tostões por um suporte “profissional”.

    Então, vamos recomendar algo para eles:
    *”Nervosinho”, não se esqueça que o seu cliente (porque, no final do dia, é isso que seu usuário é) tem razão em dizer que foi uma bola fora. Afinal, não tem nenhum leigo programando o Apache. Nessas horas o melhor é dizer: “Desculpe pelo transtorno, mas nós vamos nos esforçar para que isso não aconteça novamente. O que podemos fazer para te ajudar é esse workaround.”. Todo mundo erra, como vc reage é que faz a diferença.

    *”Revoltadinho”, não se esqueça das vantagens que o software sempre te trouxe. Se lembra quando você sempre conseguia dar um presente pra Cleusa, a sua esposa, com o que você economizava todo mês? Então, o pessoal da Apache é seu amigo e só deu uma leve pisada na bola. Todo mundo faz isso, né? Então, seja um bom cliente e trate o seu fornecedor com respeito. Afinal, eles não estão te deixando na mão, só vão demorar um pouquinho pra resolver esse problema, mas até lá tem uma forma de contornar ele.

    Srs, cresçam. Se fossemos nos matar toda a vez que um bug aparecesse, ninguém usaria computadores. Relaxem, respirem fundo e tirem um tempo longe do teclado.

    Bremm (usuário não registrado) em 25/08/2011 às 9:15 pm

    @Spif
    Descobri que nossas linhas de raciocínio são paralelas. Aliás, para quem não está satisfeito com o Apache, existe o Cherokee (aliás, foi o que o Guaracy me comentou ontem, quando saiu o anúncio). Ainda coloco o thttpd dependendo que que é servido.

    Parece que quase ninguém leu a notícia direito. O problema é mitigável (como se não fosse novidade). Agora falta ver se o LulzSec vai usar ele a favor “da causa”. :-)

    Já os furos “em outra plataforma” ficam mais tempo ainda sem correção. E os clientes dela só não reclamam porque não sabem…

    Ratito (usuário não registrado) em 26/08/2011 às 2:29 am

    Puxa, quantos comentários de todos tipos.. ao ler pensei apenas que fosse um “alerta”.. e pensei, que legal, grato Apache.
    È acho que pensei simples.. deixe-me ver.. simples é o que é claro.. e a clareza depende dos estados mental e emocional ou talvez até espiritual que estou.. estamos(pessoas).. é acho que o “simples” é uma boa alternativa.
    Boa noite senhores e senhoras linuxers.
    @;-)

    PessoALL,

    Existem várias formas de bloquear este tipo de ataque. A maioria delas já estão devidamente documentadas neste post: http://article.gmane.org/gmane.comp.apache.announce/58 elaborado pela própria equipe de desenvolvimento do Apache e divulgado ainda no dia 24/08. São medidas bem simples (em nível de configuração) e que praticamente anulam esta falha.

    So avisando, esta vulnerabilidade nao existe no apache do OpenBSD ;-).

    Abraços!
    Jack

    Kelyane (usuário não registrado) em 29/08/2011 às 12:28 am

    Os servidores da empresa onde trabalho, foram atacados no apache. Arrumar foi tenso. =D

Este post é antigo (2011-08-25) e foi arquivado. O envio de novos comentários a este post já expirou.