Há alguns dias foi descoberta uma falha grave no Apache, famoso servidor web quase sempre usado em ambientes GNU/Linux. Ela não é sensível a segurança pois não permite roubar dados, mas é grave por deixar o servidor fora do ar rapidamente (ataque de negação de serviço, DoS).
Ela foi corrigida na versão 2.2.20, que já deve estar disponível em alguns mirrors – no Debian foi corrigida no dia 29.
Basicamente a correção se dá no tratamento dos intervalos de bytes chamados para os arquivos, um recurso que permite baixar apenas uma parte deles. É algo extremamente utilizado em gerenciadores de downloads para baixar várias partes ao mesmo tempo, ou continuar downloads interrompidos, onde é necessário informar ao servidor em que ponto o programa deseja começar a puxar os dados.
Em algumas situações, dependendo das requisições enviadas o Apache consumia muita memória e CPU, ficando virtualmente travado – ou seja, deixando todo o servidor web offline.
A correção reduz a quantidade de memória solicitada pelo recurso. E se a soma de todos os intervalos solicitados for maior do que o tamanho original do arquivo, o servidor passará a ignorar esse pedido e simplesmente entregará o arquivo inteiro.
Na prática isso não deve afetar os gerenciadores de download nem a continuação dos que estiverem em pausa, já que nenhum programa legítimo em “sã consciência” pediria para baixar mais bytes do que os que os arquivos têm.
Esta postagem foi modificada pela última vez em 31/08/2011 20:40