(Por Rubén Borlenghi, El Microsaurio) Apache Server se actualizó al anochecer del día 30, luego de una semana y media de mails donde se analizaban (y describían) formas de ataque, cometarios de los desarrolladores, promesas de parche y publicaciones de “workarounds”, que es la palabra elegante que usan allÁ eN eL nortE para denominar lo que acá honestamente llamamos “atarlo con alambre”… en fin, cumplieron (tarde) los de apache org y zafaron los amigos admin. Pero sobre llovido, mojado: apenas emparchado el Server, se conocieron vulnerabilidades no resueltas en Apache Tomcat, existe una versión que las soluciona, anuncian que está lista pero no la publican… en fin, ahí va el relato del culebrón.
No todo estaba tranquilo en Dinamarca, algo (ya es costumbre) olía a podrido. Los usuarios de Apache Tomcat (alguna mala lengua dirá que se lo merecen por darle tanto a Java…) vienen sufriendo en los dos últimos meses una mala racha, por la aparición de vulnerabilidades y ataques.
La publicación de versiones es mensual, y las modificaciones de julio (7.0.19) y agosto (7.0.20) corrigieron la mayoría de los problemas. Hasta que el finlandés Henri Salo protestó en un foro anteayer: “¿cuándo sale la versión completa actualizada? – emparchar equipos en producción mediante pequeñas modificaciones no es usualmente muy simpático…” Se refería a una solución definitiva. Así que fui a averiguar de qué se trataba.
Y en esta página del website oficial de Tomcat encontré la razón de su enojo:
“ Fixed in Apache Tomcat 7.0.21 (not yet released)” —>que sería algo así como “fue solucionado en Tomcat 7.0.21 (todavía no publicado)”
Ah, claro. Ahí se leen claramente las fallas que tiene Tomcat 7.0.20, el que apareció el 11 de agosto.
Si a eso agregamos que existe una nota de seguridad, la CVE 2011 3190 del Mitre Institute, que señala esas nuevas fallas en Tomcat 7.0.20, 6.0.33 y 5.5.33, y esto sigue sin solucionarse y con promesas, y que los desarrolladores comentan, además, que tienen conocimiento de los problemas desde el 20 de agosto… hay razón para el enojo.
Recordá esta frase del finlandés “…en equipos que están en producción…” y pensá que tal vez está refiriéndose al servidor donde vos tenés alojado tu material.
Bueno, esperemos que no sea el caso. Pero los admin que tengan algo que pedirle al gatito (el Tomcat), pasen seguido por la página de descargas, a ver cuándo se libera el prometido 7.0.21. Mientras tanto, sigan con los dedos cruzados.