Problema de seguridad en Apache. ¿Todos vulnerables?


4 de Abril de 2003

SERGIO DE LOS SANTOS
www.forzis.com

Parece que los servidores web más usados en Internet, (IIS, producto de pago de Microsoft y Apache, gratuito y de código abierto) se han puesto de acuerdo en estos días para ser peligrosamente vulnerables a cierto tipo de ataques. Tras el problema WebDAV con IIS, Apache Software Fundation acaba de avisar de un grave problema de seguridad. Lo curioso es que no es la primera vez que las vulnerabilidades coinciden en el tiempo, y esto supone un grave riesgo para todos.

Un aviso de la Fundación Apache ha lanzado la voz de alarma sobre un grave riesgo de denegación de servicio en las versiones que van de la 2.0 a la 2.0.44 de su servidor web. Los detalles de la vulnerabilidad no se conocerán hasta el ocho de Abril, pero el grupo ha querido advertir a los usuarios antes de que se hagan públicos estos detalles y los chicos malos comiencen a trabajar para sacar provecho de ello. Apache insta a todos los usuarios a que descarguen e instalen su nueva versión, que, además corrige otros problemas menores.

Este comportamiento les viene a redimir ante una embarazosa situación que sufrió la Fundación el pasado mes de Junio de 2002, cuando los detalles de su peor problema de seguridad conocido hasta la fecha fueron públicos antes de que ellos mismos tuvieran la solución y pusieran a disposición de los usuarios el parche adecuado. Por aquella época, Microsoft no se quedaba atrás, y también se descubría un desbordamiento de búfer en su servidor web.

El aviso de este problema en Apache viene a coincidir con el estudio publicado por netcraft sobre el impacto de la última vulnerabilidad del servidor web de Microsoft IIS.. En él se afirma que tres cuartos de los sitios web que operan con este Software (IIS 5.0) lo hacen con el protocolo WebDAV habilitado y por lo tanto son vulnerables al fallo. El estudio se basa en casi 800.000 direcciones que trabajan con IIS 5.0. En el caso de esta vulnerabilidad, los detalles para explotarla sí que se hicieron públicos antes de que la empresa de Bill Gates programara la solución en forma de parche.

Netcraft realiza sus estudios mensuales preguntando sistemáticamente a diferentes direcciones en Internet sobre el programa que usan para servir páginas web. Así, Netcraft supone el mayor repositorio de información sobre estadísticas de servidores web. En la encuesta de Marzo se basó en las respuestas de casi cuarenta millones de servidores, en la que se refleja la posición dominante de Apache con un 63% del mercado.