Punto informatico Network

20100308232200_282324610_20100308232131_563732420_apache_logo.png

Apache su Windows: il web server è in pericolo

09/03/2010
- A cura di
Zane.
Sicurezza - Un difetto rintracciato nella penultima versione del celebre HTTP Server potrebbe consentire ad un cracker di prendere controllo del calcolatore da remoto. Già pronto l'aggiornamento.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

windows (1) , pericolo (1) , apache (1) , web (1) , server (1) .

Valutazione

  •  
Voto complessivo 4.5 calcolato su 32 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Apache HTTP Server (httpd) è raramente sotto i riflettori per problemi legati alla sicurezza. I ricercatori di Sense of Security hanno però rintracciato nei giorni scorsi un grave problema nel modulo "mod_isapi", ovvero uno dei componenti di base del software.

Stando a quanto si legge nell'advisory dell'azienda, il difetto potrebbe consentire ad un cracker di eseguire codice a propria discrezione su di un server web che impiegasse Apache 2.2.14 (o precedenti) su piattaforma Windows.

Per sfruttare la vulnerabilità, il cracker dovrebbe inviare al server una richiesta malformata seguita da un reset della connessione: questo farebbe sì che il web server scarichi un modulo ISAPI dalla memoria senza però aggiornare i relativi puntatori in maniera appropriata, che potrebbero in seguito essere dereferenziati da una chiamata a funzione opportuna. Questo condurrebbe ad un'area di memoria non debitamente validata, nella quale il cracker potrebbe essere riuscito a scrivere codice eseguibile a propria discrezione.

In caso l'attacco andasse a buon fine, l'aggressore potrebbe, di fatto, prendere pieno controllo del calcolatore.

Sense of Security ha pubblicato un primo exploit funzionante, in grado di scrivere un file di testo nella directory di Apache, se eseguito con successo.

L'azienda ha reso disponibile anche un breve filmato nel quale offre una dimostrazione della nuova vulnerabilità.

Nello stesso si precisa che la tecnologia Data Execution Prevention (DEP) è in grado di impedire la corretta riuscita dell'attacco. Solo le versioni server di Windows l'hanno però abilitata di default per tutti i processi: ecco quindi che coloro che avessero scelto di erogare il proprio sito Internet tramite un'installazione di httpd in esecuzione su una piattaforma per utenti desktop come Windows XP, Windows Vista o Windows 7 sono più esposti al problema.

Apache Software Foundation ha prontamente rilasciato la versione 2.2.15 del software, che, come si legge nelle release note, è appunto epurata da questo ed altri difetti di sicurezza minori: gli interessati possono prelevare la nuova build partendo da qui.

Ricordo a tutti coloro che fossero intenzionati a predisporre un server HTTP sul proprio sistema che MegaLab.it ha pubblicato un dettagliato approfondimento in merito: "Trasformare il PC in un server HTTP con Apache, PHP, MySQL e Perl".

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.26 sec.
    •  | Utenti conn.: 120
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.12