Actualització 11-07-02
Està circulant un cuc, extremadament complex, que ataca  als servidors web basats en Apache, a la plataforma FreeBSD,  que encara no han estat actualitzats.  Butlletí amb els detalls

Apache és el servidor web més popular del món, amb més del 60% de la quota del mercat. Es tracta d'un projecte de codi obert, amb versions disponibles per a gairebé qualsevol sistema operatiu que ens podem imaginar.

Les versions d'Apache anteriors a la 1.3.26 i la 2.0.39 poden partir un atac realitzat a traves de capçaleres incorrectes als "chunked data. Els "chunked data" (dades trossejades) permeten enviar segments de dades de forma continua, per exemple quan no es coneix la mida final de les dades però es vol realitzar la transmissió a mesura que aquesta es va rebent sense haver d'esperar a tenir la totalitat de les dades. Es tracta d'una modalitat del protocol HTTP poc utilitzada.

Les versions d'Apache anteriors a la 1.3.26 i la 2.0.39 no gestionen de forma adequada la presència de valors il·legals a les capçaleres "chunked data". Els efecte que provoca són:

1. Si el servidor és 1.3.* i s'està executant a plataformes Unix i amb CPU de 32-bit, l'atac només aconsegueix matar un procés fill d'Apache. Donat que Apache 1.3.* està dissenyat per tal d'utilitzar un procés pare com a monitor i diversos processos fill encarregats de processar les peticions (cada procés és l'encarregat d'atendre una petició concreta a cada moment. Aquest atac senzillament obliga al procés pare monitor a iniciar un nou procés. Això es tradueix en un petit augment del consum de la CPU. Es tractaria doncs d'un atac DoS (Denegació de Servei) però d'una incidència i efectivitat bastant baixa, depenent del sistema operatiu.
2. Si el servidor és 1.3.* i s'està executant a plataformes Unix i amb CPU de 64-bbit, l'atacant pot aconseguir, en determinades condicions i sistemes operatius, l'execució de codi arbitrari al sistema amb els privilegis del procés Apache.
3. Si el servidor és 1.3.* i s'està executant a Microsoft Windows, l'atacant pot executar codi arbitrari al servidor, amb els privilegis del procés Apache.
4. Si el servidor és 2.0.*, l'atacant pot originar un atac DoS (Denegació de Servei) amb un grau d'efectivitat que depèn de la plataforma i els detalls de la configuració específica del servidor Apache.

Hi han diversos "exploits" que s'aprofiten d'aquesta vulnerabilitat. Es recomana a tots els usuaris d'Apache l'actualització el més aviat possible a la versió 1.3.26 o 2.0.39.

Cal destacar que Apache ha publicat les actualitzacions del seu servidor web només dos dies després de que es fes pública la vulnerabilitat, tal i com van informar en un butlletí el passat dilluns.

Així doncs, felicitats a la Fundació Apache per la velocitat de resposta i estirada d'orelles a ISS per publicar la vulnerabilitat sense avisar abans a Apache.

Més informació

Apache HTTP Server Project
http://httpd.apache.org/

Butlletí de seguretat Apache
http://httpd.apache.org/info/security_bulletin_20020617.txt

CERT® Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html

Una per dia (17-06-02): Vulnerabilitat a Apache
http://www.quands.cat/unaperdia/arxiu/20020617.html

Jesús Cea Avión
jcea@hispasec.com