A. A. A. aggiornare Apache

Apache HTTP Web Server, più noto semplicemente come "Apache", è ancora oggi il web server più utilizzato a livello globale. Trattandosi di un software open source è sempre sotto gli occhi di migliaia di sviluppatori che ne assicurano la sicurezza e l'affidabilità.

La scorsa settimana, ad esempio, sono state rilevate alcune vulnerabilità critiche da alcuni ricercatori, poi corrette in poche ore dal team di Apache. La più pericolosa era quella etichettata come CVE-2019-0211, nota al pubblico come CARPE DIEM. Se sfruttato, tale bug di sicurezza avrebbe permesso ad un utente malintenzionato di eseguire script sul web server con i privilegi di utente root, assumendo di fatto il controllo del sistema.

CVE-2019-0211 interessava unicamente i sistemi Unix, mentre CVE-2019-0217 e CVE-2019-0215 sono invece presenti in un maggior numero di piattaforme.

CVE-2019-0217 era una race condition del modulo mod_auth_digest, ovvero un difetto del software che viene riscontrato quando i dati condivisi sono accessibili da più thread simultanei, senza che vengano implementati i protocolli di sicurezza corretti. Sfruttando vulnerabilità di questo tipo è possibile autenticarsi con un altro username per gli utenti già in possesso di credenziali valide.

CVE-2019-0215 invece era invece una vulnerabilità di tipo SSL access control bypass flaw. Si annidava nel modulo mod_SSL, che su Apache è responsabile della gestione della criptazione SSL/TLS. Tale falla avrebbe quindi permesso ad un attaccante di bypassare i controlli dei certificati SSL/TLS.

Secondo vari esperti del settore ad oggi esistono approssimativamente circa 2 milioni di installazioni di Apache web server a rischio. Per tale motivo la fondazione ha rilasciato una nuova bugfix release, Apache 2.4.39 dotata delle patch che risolvono le vulnerabilità recentemente emerse. È quindi consigliabile aggiornare il prima possibile il proprio sistema alla nuova build.

Via Apache