(Por Rubén Borlenghi, El Microsaurio) La semana pasada dimos el aviso, corrió bastante cibertinta, todos se enteraron, pero no llega la necesaria actualización. No hace falta mucho para darse cuenta de que la cosa es seria, aunque, como escribí tantas veces, esto no hará que la Internet se caiga mañana. Mientras tanto, los administradores tapan agujeros como saben y pueden. Suerte que saben. Arrimate, ahí van los detalles
La comunicación de “dirkx” era clarísima. Te sauriotraduzco y adapto lo más importante: “…ya hay una herramienta de ataque circulando por ahí y se ha observado su uso activo (…) el ataque puede realizarse de manera remota y con un modesto número de peticiones se puede causar un significativo uso de memoria y CPU en el servidor (…) la instalación por defecto de Apache HTTPD es vulnerable (…) no hay actualmente un parche o nueva versión que solucione esta vulnerabilidad; esta comunicación será actualizada cuando haya una reparación definitiva (…) una solución completa se espera en 24 horas…”
Y aquí caben algunos comentarios
- El que firma la comunicación, “dirkx”, es Dirk-Willem van Gulik, quien está a cargo de “bugfixing” en Apache. ¿Antecedentes? Este holandés ha integrado un equipo de comunicaciones de las Naciones Unidas, trabajó para la Comisión Europea, es autor de estándares de Internet, también ha sido capo del área de nuevas tecnologías de la BBC, pero (más interesante) aparece en la lista de Contributors del proyecto Apache y… también como presidente de la Fundación Apache entre 1999 y 2009. En fin, a esa persona no le voy a discutir los diagnósticos.
- El servidor Apache aparece instalado en un poco más del 60% de los equipos que brindan contenidos a los usuarios de Internet, según la más reciente encuesta de Netcraft.
- Resumiendo brutalmente, el defecto de programación aprovechado por el atacante hace que cuando se pide una página web, redactando esa petición “de cierta manera”, el server toma el pedido y hace unas cien búsquedas internas. Si el atacante hace diez peticiones de página, el server busca mil. Si el atacante pide cien… sigan haciendo las cuentas. Una forma realmente simple de voltear un servicio. Los visitantes legítimos irán a parar a una cola, se aburrirán, harán clic en otro lado.
- Y lo lamento, Dirk, la versión más reciente del producto registrada en el website oficial es la 2.2.19, del 22 de mayo. La comunicación de la falla es del 24 de agosto, se publicó una modificación de ese texto el viernes 26, hasta el 30 al mediodía no había novedades. No lo solucionaron en 24 horas.
Las versiones afectadas son (suenen trompetas) Apache 1.3 all versions, Apache 2 all versions. Encantador.
Pero no todo son pálidas. En la comunicación de advertencia se detallan varias formas de zafar mientras llegue el esperado parche.
Cruzar los dedos, y esperar que el server atacado no sea ese, donde está la información que necesitan los empleados de tu empresa para trabajar. ¡Aguante la nube!
Dia 30 a la noche–>Se acaba de publicar la actualización, es Apache Server 2.2.20
Quien la necesite, pasar por el website Apache Org