Foi divulgada nesta segunda-feira, dia 17, uma grave vulnerabilidade de segurança que afeta os servidores Apache. O bug atinge tanto os servidores que rodam em sistemas operacionais Windows quanto os que rodam em plataformas derivadas do Unix. A informação veio a público antes de uma correção completa ter sido preparada.Segundo a empresa de segurança ISS X-Force, responsável pela divulgação inicial da falha, o problema pode levar à modificação de conteúdo em sites da Web, ataques de negação de serviço ou mesmo à execução de códigos arbitrários no servidor.
O bug ocorre devido a um erro de cálculo na codificação de uma área de dados ("chunked enconding") do protocolo HTTP. Quando o servidor recebe uma requisição de um usuário, calcula um espaço de memória suficiente para guardar a informação que será posteriormente processada. Se o volume de dados é desconhecido, o programa-cliente ou o navegador se comunicam com o servidor para criar blocos (chunks) de dados, que vão sendo negociados à medida que as informações são transferidas. Mas o Apache possui uma falha de interpretação destes blocos, o que pode levar a estouro de memória e execução de códigos maliciosos.
O bug foi confirmado pela Fundação Apache, que desenvolve o software de mesmo nome para servidores Web. As versões de 1.3 a 1.3.24 e de 2.0 a 2.0.36 (ou seja, todas) estão vulneráveis, e as conseqüências da falha dependem de vários fatores, incluindo o sistema operacional que esteja rodando na máquina afetada. A funcionalidade chamada de "chunked encoding" está presente como padrão nos servidores. O Apache é o servidor mais popular na Web, usado em cerca de 60% dos sites, o que aumenta a gravidade da falha.
A ISS lançou uma correção para o bug, mas a Fundação Apache afirma que a solução apresentada não resolve completamente o problema. De fato, a atitude da ISS não está sendo muito bem vista por alguns membros da comunidade de segurança. Isto porque a companhia divulgou as informações sobre a vulnerabilidade sem dar tempo para a Apache corrigi-la.
David Litchfield, da NGSSoftware, afirma que os pesquisadores de sua empresa também já haviam notado que as distribuições do Apache para plataformas Win32 eram vulneráveis à falha "chuncked encoded", enquanto faziam testes na plataforma Oracle. "No entanto, nossa abordagem em relação ao problema era e é completamente diferente. Nós alertamos a Oracle, a Apache e o CERT", reclama. "Com o lançamento prematuro do boletim da ISS, muitos estão agora vulneráveis sem uma correção do 'fornecedor' Apache".
O boletim da empresa brasileira N-Stalker sobre esta vulnerabilidade, divulgado hoje em inglês, também traz críticas à ISS. "Notificar o fabricante com antecedência é uma prática padrão ao se reportar brechas de segurança; é de se imaginar que a ISS estava tentando conseguir alguma promoção na imprensa, já que o servidor Apache é tão largamente usado e de alto padrão".
A ISS se defende e sustenta que fez o que era certo, pois lançou um patch junto com seu boletim. "Estamos competindo com os 10 milhões de hackers aí fora, que tentam invadir os servidores Web", disse Chris Rouland, diretor de pesquisa e desenvolvimento da ISS X-Force, em uma entrevista à CNet. "Os hackers foram os reais prejudicados por nós termos lançado o boletim. Este é um exploit a menos que eles poderão usar".
O que a companhia não previu foi a extensão do problema. A correção que disponibilizou serve apenas para o Windows, mas a Fundação Apache já estava trabalhando em conjunto com a NGSSoftware, e tinha descoberto que a falha atinge também as plataformas baseadas em Unix.
Por causa do aviso da ISS, a Apache foi obrigada a lançar prematuramente seu próprio alerta, no qual obviamente não poderia omitir informações. A Fundação está agora trabalhando no desenvolvimento de novas versões do software, com as falhas devidamente corrigidas.
Para mais informações, leia os documentos abaixo:
boletim da ISS X-Force
boletim da Fundação Apache
boletim do CERT Cordination Center