Pouco mais de 24 horas depois do anúncio público de uma falha grave nos servidores Apache, a organização responsável pelo desenvolvimento do software lançou novas versões do produto, livres do bug. No final da noite de ontem, já estavam disponíveis para download as versões 1.3.26 e 2.0.39 do Apache Web Server, utilizado por cerca de 60% dos servidores no mundo.
A falha foi divulgada na segunda-feira, dia 17, inicialmente pela equipe de pesquisa chamada X-Force, da empresa de segurança ISS. Junto do anúncio, a ISS X-Force lançou uma correção para a falha, mas supôs que o problema não atingisse as plataformas baseadas em Unix (*nix). Isto obrigou a Apache Software Foundation, responsável pelo desenvolvimento do servidor, a publicar seu próprio boletim no mesmo dia, informando que o bug é mais grave do que parecia e que atinge tanto as plataformas Windows quanto as *nix.
A ISS foi criticada por membros da comunidade de segurança. Sua atitude foi considerada irresponsável, já que divulgou a falha sem que uma correção completa estivesse disponível. A empresa deu menos de duas horas de prazo para que a Apache corrigisse o problema.
O bug atinge uma funcionalidade do servidor responsável pela codificação de blocos de dados ("chunked encoding") e permite a execução de códigos arbitrários ou ataques de negação de serviço na máquina afetada. O Apache roda em mais de 10 milhões de máquinas, as quais tornaram-se vulneráveis a ataques com a divulgação prematura do bug.
O episódio reabriu a discussão sobre a necessidade de se regular o anúncio público de falhas de programação. "Com mais pessoas e organizações fazendo pesquisas de segurança, talvez seja hora de se criar um Centro de Coordenação de Vulnerabilidades — uma terceira parte confiável, como uma sucursal do CERT", escreveu em um e-mail enviado à lista Bugtraq David Litchfield, co-fundador da empresa de segurança NGSSoftware, que trabalhou com a Apache na pesquisa da falha.
A declaração, relacionada a um problema ocorrido com um software de código aberto como o Apache, não deixa de ser irônica. Há poucos meses, a Microsoft também se engajou numa campanha para coibir o que um de seus diretores classificou como "anarquia da informação". O termo foi aplicado ao que se convencionou chamar de "full disclosure", tendência que defende a livre divulgação de vulnerabilidades, como forma de obrigar as empresas a corrigi-las.
Como a Microsoft é alvo constante de pesquisas sobre brechas de segurança em seus programas, a campanha da empresa foi vista com desconfiança. A Microsoft foi acusada de querer evitar que estas falhas se tornassem conhecidas, e conseqüentemente se eximir da responsabilidade de corrigi-las.
Vistas em restrospectiva, a atitude da ISS e as críticas que recebeu trazem alguns questionamentos relevantes: se a empresa não tivesse lançado seu boletim, a Apache teria corrigido o bug tão rapidamente? Se algumas empresas estavam pesquisando a vulnerabilidade "chunked encoding", não é provável que alguns hackers também estivessem? A Microsoft, afinal, tem razão em querer evitar o full disclosure?
Enquanto as respostas permanecem em aberto, o melhor a se fazer é atualizar o servidor Apache. As novas versões podem ser encontradas no endereço www.apache.org/dist/httpd/.