Kiepski ten news. Jeśli to ma dotyczyć HTTP Request smuggling, to to nie jest dziura samego Apache. To jest wykorzystanie różnic w interpretowaniu błędów przez serwery proxy i Apache2. "Dziura" nie umożliwia żadnego ataku na komputer z Apache. Umożliwia to jedynie ewentualne obejście ograniczeń narzucanych przez proxy pomiędzy użytkownikiem, a Apache2. Najgorszą konsekwencją takiego hacku jest efekt, jakby proxy nie było, czyli normalny pełny dostęp do Internetu.
@anonymous coward: Pierwsza połowa Pańskiej wypowiedzi jest prawdziwa, druga - już niestety nie (mówię o "BID 14106 to tak jakby kontynuacja BID 13873"). Proszę zwrócić uwagę, że połączenie dwóch zdań słowem "jakby" rzadko prowadzi do zbudowania prawdziwej implikacji - nawet jeśli polskim politykom wydaje się inaczej. @Tomek Matys: Informację o Netcrafcie podaję za witryną http://httpd.apache.org/, siódma linijka od góry, pierwsze wystąpienie słowa "Netcraft" na stronie. Proszę kliknąć w odsyłacz.
"Zgodnie z badaniami Netcrafta...." - Przegladalem wlasnie info z Netcrafta na kilka miesiecy wstecz w poszukiwaniu owej informacji (owych "badan"). Nie znalazlem niczego, chociaz moglem cos przeoczyc. Dopoki PC Wold nie bedzie uzasadnial tego typu twierdzen konkretnymi linkami dopoty bede uwazal, ze artykuly takie jak powyzszy sa sponsorowane przez ... Mam dziwne wrazenie, ze wokol OpenSource na tej stronie rosnie negatywna kampania, ktora (niepodparta konkretami) chce odciagnac ludzi od wolnego oprogramowania (np. niedawny artykul o Debianie lub PHP). Czytalem na www.secunia.com jak wyglada sytuacja z bezpieczenstwem zarowno apache 1.3 jak i 2.x. Zainteresowani niech sprawdza to sami.
apache 2 jest dziurawy jak sitko. lepsiejsze są wersje 1.2/1.3
Wiec tak: jezeli serwer Apache jest czesciej wykorzystywany niz taki IIS, to wedlug twierdzenia >jak linux i ff beda tak popularne jak windows i ie, to tez beda mialy tyle wirusow i bledow < powinien posiadac wiecej bledow i byc mniej bezpieczny... Ale niestety tak nie jest :) Hym, hym, dlaczego? Bo MS jest niechlujne jezeli chodzi o bezpieczenstwo i o cala reszte... Tak srednio to tutaj pasuje, ale jakos mi sie nasunelo. Pozdrawiam
White: nom wazne tez jak system zareaguje na blad (zamknie aplikacje) i co da przypuszczalnemu wlamywaczowi do dyspozycji.
Większośc osób wciąż używa stabilną wersję 1.x bo oferuje prawie dokładnie tą samą funkcjonalność co wersje 2.x ,chociaż jest trochę wolniejsza... Wersja 2.x wciąż różni się niewiele, pod względem zaimplementowanych funkcji, tak więc nie warto na razie jej zmieniać...
re white zgadza sie nie liczy sie ilość błedów tylko szybkośc reakcji na nie (ale czy patrzeć na ilość czy na tempo naprawiania pewna wielka firma z batalionami specialistów wlecze sie daleko za konkurencją czyli bandą amatorów)
Czy Autorowi chodzi o ten błąd → http://www.securityfocus.com/bid/14106/discuss ? Jeśli tak, to należało również nadmienić, że ten problem dotyczy innych serwerów WWW: Sun ONE Web Server, Oracle Oracle9i Application Server Web Cache, Microsoft IIS 6.0, Microsoft IIS 5.0, IBM Websphere Application Server, DeleGate DeleGate, BEA Systems Weblogic Server, BEA Systems WebLogic Express → http://www.securityfocus.com/bid/13873 (BID 14106 to tak jakby kontynuacja BID 13873). Dziękuje za uwagę :]
Ale znam takich ktorym do dzisiaj trudno sie pogodzic z tym ze ich ulubiony system czy np program rowniez nie jest pozbawiony bledow w kodzie i luk. Pamietam dyskusje po wykryciu krytycznych bledow w firefoxie.Niektorzy sie wsciekali,niektorzy negowali to co podala secunia mowiac ze to klamstwo(!) a niektorzy pospuszczali tylko glowy.Tymczasem kazdy rozsadny czlowiek wie ze programow ktorych kod pozbawiony jest bledu praktycznie nie ma.Ulubiony watek wszelkich dyskusji to licytowanie sie ktora browserka ma wiecej luk albo ktory system jest bezpieczniejszy. Tymczasem prawda jest taka ze jak ktos jest lamerem to zaden system nie jest dla niego bezpieczny a jak troche sie zna na kompach to wiekszych problemow z bezpieczenstwem nie ma bez wzgledu na to jakiej przegladarki uzywa i na jakim os ie dziala.Moze wiec zamiast dozbrajac sie "w sprzet" co ja widac bywa zawodne,zainwestowac troche w swoja wiedze.Korzysci beda o wiele wieksze. BTW ostatnio w mediach trwa polowanie na bledy w kodzie programow.Jesli gdzies cos sie znajdzie to jest news na pierwsza strone/serwisy internetowe/.Przyklad -malo grozna dziura w sunie ktora znalazla sie swego czasu na pierwszych stronach wszystkich serwisow.Troche to dziwne ale musze przyznac ze ja tez lubie czytac takie informacje.
Tak, nie ma kodu bezpiecznego, gdy jest duży, gdy jest stosowany częściej, gdy inni (źli) sie nim zaczną interesować. Czym więcej zainteresowania użytkowników tym więcej zainteresowania hackerów i tym więcej i częstrzych szkód będzie przez błęty - tym częstrze im kod większy i im jest to bardziej ulepszenie ulepszenia.
