L’Apache Software Foundation ha annunciato il rilascio della versione 2.2.20 del web server opensource Apache (“Apache HTTP Server“, httpd). La pubblicazione della nuova release dell’applicazione si è rivelata necessaria per sanare una vulnerabilità di sicurezza già emersa ben quattro anni fa ma sinora mai risolta. Nei giorni scorsi, la diffusione di un semplice script Perl, battezzato “Apache Killer” ha immediatamente fatto suonare un campanello d’allarme al team di sviluppo della fondazione no-profit che si occupa, tra l’altro, del popolarissimo server web, disponibile sia nelle versioni per Linux che per Windows.
Ricorrendo allo script “Apache Killer” ed inviando un numero di richieste piuttosto contenuto, un aggressore potrebbe riuscire a lanciare un attacco DoS (Denial of Service) verso qualunque server web Apache causando un’anormale consumo della memoria e provocando la saturazione delle risorse disponibili sulla CPU. Come risultato, il malintenzionato riuscirebbe così a rendere irraggiungibili i siti web ospitati sulla macchina oggetto dell’attacco DoS.
Secondo quanto riferito, ad essere affette dal problema, sarebbero tutte le versioni di Apache (1.3.x e 2.x, sino alla release 2.2.19). Sebbene in questa pagina (paragrafo Mitigation), siano fornite delle indicazioni per mitigare il problema ed evitare di subire un attacco DoS, il suggerimento migliore consiste nel migrare tempestivamente alla versione 2.2.20, appena rilasciata, di Apache.
Nelle scorse ore ha detto la sua anche Cisco che ha messo al lavoro i propri tecnici per verificare se e quali dispositivi hardware commercializzati dall’azienda possano essere vulnerabili all’attacco. Nella maggior parte delle situazioni, tuttavia, è possibile applicare dei “workaround” che permetteranno di mettersi al riparo da qualunque pericolo (ved. questa pagina).