Roma – Lo scorso lunedì la nota società di sicurezza Internet Security Systems ( ISS ) ha reso pubblica una grave falla che affligge Apache. Il popolare server Web open source, secondo l’ osservatorio di Netcraft , attualmente gira su oltre il 60% dei siti Internet.
All’avviso pubblicato da ISS hanno poi fatto seguito quello dell’Apache Foundation e del CERT , dove si descrive una falla che interessa le versioni di Apache comprese fra la 1.3 e la 1.3.24 e fra la 2.0 e la 2.0.36. La vulnerabilità risiede nel codice che gestisce alcune richieste HTTP e che, nel caso di Apache 1.3.x, possono consentire ad un aggressore di eseguire del codice a sua scelta sul server vittima. Il problema appare invece meno grave per quel che concerne Apache 2.x, dove un aggressore può sfruttare la falla per lanciare attacchi di tipo denial of service ma non per penetrare nel server remoto.
Il comportamento di ISS ha però scatenato un’accesa polemica: secondo l’Apache Foundation, infatti, ISS avrebbe pubblicato il proprio advisory senza avvisare né l’Apache Foundation né il CERT, un atteggiamento definito dal team di sviluppatori open source “pericoloso e irresponsabile”.
Ad esacerbare le critiche c’è poi il fatto che ISS, con quella che assume le proporzioni di una clamorosa leggerezza, ha distribuito insieme al suo advisory una patch che andava a risolvere il problema solo parzialmente: la società era infatti convinta che il bug riguardasse solo la versione per Windows di Apache. In realtà, come ha poi puntualizzato il bollettino di sicurezza dell’Apache Foundation, il problema riguarda anche altre versioni del software.
Mark Cox, uno dei membri fondatori dell’Apache Foundation, si è detto allibito dal comportamento di ISS, sostenendo che se ISS si fosse consultata con il team di sviluppatori di Apache o il CERT sarebbe immediatamente venuta a sapere non solo che il problema era già noto, ma che era già in sviluppo una patch.
La prima società di sicurezza a scoprire la falla è stata infatti Next-Generation Security Software (NGSS)
, una società che ha però deciso di non prendere decisioni affrettate e coordinare lo sviluppo di una patch che l’Apache Foundation.
“Con questo prematuro rilascio – ha commentato David Litchfield, co-fondatore di NGSS – ISS ha lasciato molti sistemi vulnerabili e senza la possibilità di applicare una patch”.
Alcuni membri della comunità di Apache hanno giudicato il comportamento di ISS come un attacco al software open source; altri lo hanno interpretato come una mera mossa pubblicitaria.
La linea difensiva di ISS verte sul fatto che il team di sviluppatori di Apache non è un’azienda e, dunque, il referente principale per la notifica di bug diviene automaticamente l’intera comunità, compresa quella degli utenti.
“Una tesi – commenta ironico Cox – senza dubbio originale”.
Chris Rouland, a capo del team ricerca e sviluppo di ISS, sostiene poi che molti membri dell’Apache Foundation lavorano per società concorrenti alla sua e non possono dunque essere considerati dei validi referenti. Uno di questi è proprio Cox, sviluppatore di spicco di Red Hat.
“Potrebbe non essere nell’interesse dei miei clienti far sapere a Red Hat che qui c’è una vulnerabilità di sicurezza”, ha detto Rouland. “Non considero Red Hat una terza parte affidabile”.
In attesa di completare lo sviluppo di una patch, l’Apache Foundation ha già rilasciato due nuove versioni di Apache che correggono il problema: la 1.3.25 e la 2.0.39.
Ti potrebbe interessare
19 giu 2002