Nuovo aggiornamento correttivo per il web server Apache

Un nuovo aggiornamento interessa tutti coloro che eseguono un server web Apache. Rilasciata quest’oggi dall’Apache Software Foundation, la versione 2.2.21 del web server opensource Apache (“Apache HTTP Server“, httpd) permette di mettersi al riparo da eventuali rischi di attacchi Denial of Service (DoS). Nello specifico, la nuova release di Apache corregge e migliora ulteriormente il primo intervento che era stato apportato all’applicazione appena due settimane fa (ved. questo nostro articolo).

L’installazione della patch è consigliata a tutti coloro che posseggono un server sul quale sia in funzione una versione 2.2.x del prodotto. Coloro che impiegano Apache 2.0, invece, dovranno ancora aspettare: le correzioni appena applicate saranno implementate nella release 2.0.65, attualmente in corso di definizione.

L’Apache Software Foundation ha illustrato, in questo documento, tutti i dettagli circa il nuovo aggiornamento e gli attacchi in cui si potrebbe incorrere temporeggiando con la sua adozione. “Uno strumento in grado di facilitare gli attacchi sta già circolando in Rete“, si legge nel bollettino. “Il ripetuto utilizzo di tale software è già stato rilevato“.
Gli sviluppatori di Apache HTTP Server si riferiscono allo script Perl “Apache Killer” che, inviando un numero di richieste piuttosto contenuto, può consentire – ad un aggressore – di lanciare un attacco DoS causando un’anormale consumo della memoria da parte della macchina e provocando la saturazione delle risorse disponibili sulla CPU. Come risultato, il malintenzionato riuscirebbe così a rendere irraggiungibili i siti web ospitati sulla macchina oggetto dell’attacco DoS. Apache 1.3 non è risultato vulnerabile.