Apache alerta para ataque de negação de serviço à solta
Os desenvolvedores do servidor web Apache enviaram um alerta sobre um novo ataque de negação de serviço que vem sendo ativamente explorado. O ataque é bastante eficiente, permitindo que um único cliente consuma vastas quantidades de recursos do servidor com poucas requisições. Uma correção completa é esperada em um prazo de 48h, mas a mensagem de alerta oferece várias opções de configuração que permitem mitigar o risco nos servidores potencialmente expostos. (via lwn.net)
• Publicado por Augusto Campos em
2011-08-25
Aqui o negócio é complicado. Eles prometem em 48 horas como se fosse grande coisa. O problema já é conhecido há séculos e eles não fizeram nada. A minha dúvida seria: quantos outros bugs do tempo do telégrafo existem e ainda não foram corrigidos e quantos programas existem na mesma situação?
@Guaracy
Lembre que isso é código aberto, se está incomodado ao ponto de reclamar aqui, poderia reforçar seu interesse no bug track com envio de algum patch ou caso não seja conhecedor de desenvolvimento, poderia ao menos patrocinar um desenvolvedor para fazê-lo por você.
Slowloris?
@Rafael, plz me poupe! Esse negócio de DIY é só para se eximir de responsabilidades.
Mas como disse o Zalewski¹, bom que eles estão corrigindo o problema.
¹http://seclists.org/fulldisclosure/2011/Aug/270
@Guaracy Monteiro, o software é livre e é distribuído de graça.
Se está incomodando você, deixe de usar ou conserte você mesmo ou pague alguém para isso. Essa é a filosofia do SL. Ou vc não sabia?
Afinal, já chega dessa mentalidade infantil dos anos 90 de que software livre nasce em árvore e não custa nada para ninguem, né?
Guaracy, um “plz me poupe” não muda o fato que você pode contribuir e isso, definitivamente, não é “se eximir de responsabilidades”. Na verdade é apontar o obvio, com o acesso ao código-fonte, qualquer um com conhecimento técnico é capaz de alterar qualquer coisa.
@Guaracy Monteiro,
Já que você gosta de cobrar as coisas de um projeto de software livre feito por voluntários como se fosse uma empresa, sugiro que você use algum outro servidor web comercial, PAGUE o suporte da respectiva empresa e EXIJA seus direitos de consumidor.
Muitas empresas grandes pagam rios de dinheiro a empresas como IBM
http://www-01.ibm.com/software/br/websphere/products/webserver/appserv/wasproductline/
para ter o direito de exigir alguma coisa e tirar o seu da reta quando há um problema com o produto.
Quantas coisas a gente paga na vida por serviços comerciais e tem dores de cabeça na hora de ter seus direitos de consumidor respeitados ?
é aquela coisa…
Enquanto não tem nenhum problemas: VOCE PAGOU POR SOFTWARE ? ENTÃO É BURRO POR NAO USAR ALGO LIVRE…
Quando tem coisas deste tipo voce recebe um: VOCE QUER ALGO COM ESTE NIVEL DE COMPROMETIMENTO ? ENTÃO PAGUE
aí vc paga e o mesmo “FSF Boy” vem com a frase acima….
é praticamente um loop infinito…
Muita bobagem sendo dita.
Sobre suporte: Open source não quer dizer “sem suporte profissional”.
Mas parea suporte profissional paga-se.
O Apache Web Server possui milhares de empresas no mundo todo fornecedoras de suporte.
Paga-se e ponto final.
“Vai lá e resolve o bug, seu sanguessuga maldito!”, diz o inflamado fã de software livre, se esquecendo que não são todas as pessoas que fazem isso, ou até mesmo de simplesmente compilar um software. O inflamado fã de software livre (que vamos chamar aqui de “nervosinho”, para encurtar) acha que o software está acima de qualquer crítica, pois ele é “gratuíto”. “Nervosinho”, no alto da sua fúria, se esquece também que ele sempre gosta de quando mais pessoas usam o software preferido dele.
“Desenvolvedores preguiçosos! Ficaram esse tempo todo sentados no problema ao invés de trabalhar! Quantas porcarias vão aparecer mais nesse código?!?! Isso é um absurdo!” diz o Cliente Revoltado (que vamos chamar de “revoltadinho”). Revoltadinho se esquece de quanto poupou quando assinou aquela hospedagem em Apache e o Linux para aquele site com que ele criou para a sua loja de comida para cachorro. Se esquece de toda os dias feliz que ele vendeu os seus produtos pela internet, quando os seus competidores estavam com sites precários, apesar de pagar mais uns tostões por um suporte “profissional”.
Então, vamos recomendar algo para eles:
*”Nervosinho”, não se esqueça que o seu cliente (porque, no final do dia, é isso que seu usuário é) tem razão em dizer que foi uma bola fora. Afinal, não tem nenhum leigo programando o Apache. Nessas horas o melhor é dizer: “Desculpe pelo transtorno, mas nós vamos nos esforçar para que isso não aconteça novamente. O que podemos fazer para te ajudar é esse workaround.”. Todo mundo erra, como vc reage é que faz a diferença.
*”Revoltadinho”, não se esqueça das vantagens que o software sempre te trouxe. Se lembra quando você sempre conseguia dar um presente pra Cleusa, a sua esposa, com o que você economizava todo mês? Então, o pessoal da Apache é seu amigo e só deu uma leve pisada na bola. Todo mundo faz isso, né? Então, seja um bom cliente e trate o seu fornecedor com respeito. Afinal, eles não estão te deixando na mão, só vão demorar um pouquinho pra resolver esse problema, mas até lá tem uma forma de contornar ele.
Srs, cresçam. Se fossemos nos matar toda a vez que um bug aparecesse, ninguém usaria computadores. Relaxem, respirem fundo e tirem um tempo longe do teclado.
@Spif
Descobri que nossas linhas de raciocínio são paralelas. Aliás, para quem não está satisfeito com o Apache, existe o Cherokee (aliás, foi o que o Guaracy me comentou ontem, quando saiu o anúncio). Ainda coloco o thttpd dependendo que que é servido.
Parece que quase ninguém leu a notícia direito. O problema é mitigável (como se não fosse novidade). Agora falta ver se o LulzSec vai usar ele a favor “da causa”. :-)
Já os furos “em outra plataforma” ficam mais tempo ainda sem correção. E os clientes dela só não reclamam porque não sabem…
Puxa, quantos comentários de todos tipos.. ao ler pensei apenas que fosse um “alerta”.. e pensei, que legal, grato Apache.
È acho que pensei simples.. deixe-me ver.. simples é o que é claro.. e a clareza depende dos estados mental e emocional ou talvez até espiritual que estou.. estamos(pessoas).. é acho que o “simples” é uma boa alternativa.
Boa noite senhores e senhoras linuxers.
@;-)
PessoALL,
Existem várias formas de bloquear este tipo de ataque. A maioria delas já estão devidamente documentadas neste post: http://article.gmane.org/gmane.comp.apache.announce/58 elaborado pela própria equipe de desenvolvimento do Apache e divulgado ainda no dia 24/08. São medidas bem simples (em nível de configuração) e que praticamente anulam esta falha.
So avisando, esta vulnerabilidade nao existe no apache do OpenBSD ;-).
Abraços!
Jack
Os servidores da empresa onde trabalho, foram atacados no apache. Arrumar foi tenso. =D