Come ogni software su ogni sistema operativo, Apache ha una lunga storia di aggiornamenti, bug e patch.
Come ogni software che viene usato su sistemi connessi ad Internet, Apache ha la sua storia di vulnerabilities, exploit e buchi di sicurezza che vengono regolarmente scoperti e regolarmente patchati.
Come ogni software per server, il modo più efficace e rapido per tenerlo il più possibile sicuro è mantenerlo aggiornato.
Riportiamo, come reference indicativa, la lista completa delle vulnerabilities scoperte su Apache fino al momento in cui si scrivono queste note come vengono riportate su SecurityFocus, che mantiene uno dei database più efficaci e completi sulla sicurezza.
Va considerato che non tutte le vulnerability qui riportate necessariamente riguardano i nostri sistemi o sono particolarmente gravi in quanto:
- Possono riferirsi a versioni di Apache per specifici sistemi operativi;
- Possono riferirsi a progetti correlati ad Apache che non sempre sono usati (es: Tomcat o mod_dav);
- Possono valere solo in determinati casi o con determinate configurazioni, non previste di default;
- Possono comportare problematiche di sicurezza non critiche, seppur degne di attenzione.
E' inevitabile che questo elenco sia destinato ad aumentare con il tempo e che le versioni di Apache attualmente disponibili contengano dei bug che verranno scoperti e resi pubblici in futuro.
Una volta installato il proprio server Web, quindi, è opportuno considerare strumenti e tecniche per aggiornarlo in modo rapido e senza complicazioni.
ELENCO VULNERABILITY SU APACHE Fonte: Security Focus Vulns Archive
2002-10-30: Apache 2 WebDAV CGI POST Request Information Disclosure Vulnerability
2002-10-17: Multiple Apache HTDigest Buffer Overflow Vulnerabilities
2002-10-17: Apache HTDigest Arbitrary Command Execution Vulnerability
2002-10-17: Multiple Apache HTDigest and HTPassWD Component Vulnerabilites
2002-10-05: OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow Vulnerability
2002-10-04: Apache Tomcat DefaultServlet File Disclosure Vulnerability
2002-10-01: Apache Tomcat Mod_JK /Mod_JServ Directory Disclosure Vulnerability
2002-09-27: Apache 2 mod_dav Denial Of Service Vulnerability
2002-09-24: Apache Oversized STDERR Buffer Denial Of Service Vulnerability
2002-09-09: Apache Chunked-Encoding Memory Corruption Vulnerability
2002-08-21: Apache Tomcat 4.1 JSP Request Cross Site Scripting Vulnerability
2002-08-16: Apache 2.0 CGI Path Disclosure Vulnerability
2002-08-16: Apache 2.0 Path Disclosure Vulnerability
2002-08-16: Apache 2.0 Encoded Backslash Directory Traversal Vulnerability
2002-07-17: Apache httpd 2.0 CGI Error Path Disclosure Vulnerability
2002-07-10: Apache Tomcat DOS Device Name Cross Site Scripting Vulnerability
2002-07-10: Apache Tomcat Servlet Mapping Cross Site Scripting Vulnerability
2002-06-20: Apache Tomcat Null Character Malformed Request Denial Of Service Vulnerability
2002-06-19: Apache Tomcat Web Root Path Disclosure Vulnerability
2002-06-12: Apache Tomcat JSP Engine Denial of Service Vulnerability
2002-05-29: Apache Tomcat Example Files Web Root Path Disclosure Vulnerability
2002-05-29: Apache Tomcat Source.JSP Malformed Request Information Disclosure Vulnerability
2002-05-29: Apache Tomcat RealPath.JSP Malformed Request Information Disclosure Vulnerability
2002-05-13: Multiple Vendor HTTP CONNECT TCP Tunnel Vulnerability
2002-04-23: Apache Tomcat Servlet Path Disclosure Vulnerability
2002-04-19: Apache Tomcat System Path Information Disclosure Vulnerability
2002-03-25: Apache Double-Reverse Lookup Log Entry Spoofing Vulnerability
2002-03-25: Apache Win32 Batch File Remote Command Execution Vulnerability
2002-03-16: Apache Possible Directory Index Disclosure Vulnerability
2002-03-16: Apache Split-Logfile File Append Vulnerability
2002-02-07: Apache 2 for Windows OPTIONS request Path Disclosure Vulnerability
2002-02-07: Apache 2 for Windows php.exe Path Disclosure Vulnerability
2002-01-08: Apache HTTP Request Unexpected Behavior Vulnerability
2002-01-07: Apache Non-Existent Log Directory Denial Of Service Vulnerability
2002-01-07: Apache Win32 PHP.EXE Remote File Disclosure Vulnerability
2001-12-12: Multiple Vendor URL JSP Request Source Code Disclosure Vulnerability
2001-11-29: Apache Artificially Long Slash Path Directory Listing Vulnerability
2001-11-23: Jakarta Tomcat Error Message Information Disclosure Vulnerability
2001-11-08: Apache mod_usertrack Predictable ID Generation Vulnerability
2001-09-10: MacOS X Client Apache Directory Contents Disclosure Vulnerability
2001-08-13: Apache Mod ReWrite Rules Bypassing Image Linking Vulnerability
2001-08-13: Apache Server Address Disclosure Vulnerability
2001-07-04: Apache Tomcat Cross-Site Scripting Vulnerability
2001-06-11: MacOS X Client Apache File Protection Bypass Vulnerability
2001-05-22: Apache Web Server HTTP Request Denial of Service Vulnerability
2001-03-30: Apache Tomcat 3.0 Directory Traversal Vulnerability
2000-12-06: Apache Web Server with Php 3 File Disclosure Vulnerability
2000-09-29: Apache Rewrite Module Arbitrary File Disclosure Vulnerability
2000-09-07: SuSE Apache WebDAV Directory Listings Vulnerability
2000-07-20: Apache Tomcat 3.1 Path Revealing Vulnerability
2000-07-20: Apache Tomcat Snoop Servlet Information Disclosure Vulnerability
2000-07-20: Apache Jakarta-Tomcat /admin Context Vulnerability
2000-05-31: Apache HTTP Server (win32) Root Directory Access Vulnerability
1999-09-25: NCSA/Apache httpd ScriptAlias Source Retrieval Vulnerability
1999-06-01: phf Remote Command Execution Vulnerability
1999-06-01: Multiple Vendor nph-test-cgi Vulnerability
1999-06-01: Multiple Vendor MIME Header DoS Vulnerability
1999-06-01: Apache mod_cookies Buffer Overflow Vulnerability
1999-06-01: Multiple Vendor test-cgi Directory Listing Vulnerability
1999-06-01: Apache Web Server DoS Vulnerability
Breve rassegna della security history, problematiche attuali. Security e siti dinamici.