Un problema di vulnerabilità ha costretto i produttori del noto Web server a intervenire con una versione patch.
29 maggio 2003 Per la seconda volta nell’arco di due mesi Apache Software Foundation ha rilasciato un upgrade relativo alla diffusa piattaforma di Web serving distribuita in base ai criteri delle licenze open source, avvertendo però che l’uscita è dovuta esclusivamente a una vulnerabilità individuata nell’upgrade precedente. Il difetto è stato risolto in in questa ultima release. Apache 2.0.46 viene ufficialmente definito come “security and bug fix”: tra i bachi che sono stati riparati c’è una vulnerabilità a livello del modulo mod_dav, che avrebbe potuto essere sfruttato per disabilitare remotamente un server. Mod_dav è il modulo open source che garantisce la compatibilità con i protocolli World Wide Web Distributed Authoring and Versioning (WebDav). Questa estensione di Http consente di editare e gestire remotamente i server Web, attraverso applicazioni di collaborazione remota che rendono molto più facile il lavoro svolto da gruppi di programmatori geograficamente distribuiti.
Apache è intervenuta anche su una vulnerabilità di tipo denial of service che colpisce il modulo di autenticazione dell’application server. Sfruttando un baco in uno degli script di configurazione utilizzato da una funzione per la validazione delle password, un aggressore potrebbe successivamente lanciare attacchi Dos che renderebbero impossibile il normale login, anche con userid e password perfettamente autorizzate. Le vulnerabilità colpiscono tutte le versioni di Apache dalla 2.0.37 alla 2.0.45, rilasciata lo scorso aprile (anch’essa per rimediare a una vulnerabilità individuata e denunciata da iDefense).
