Proponha uma correção, faça uma sugestão
Milhões de sites estão vulneráveis por causa do… Apache?
Maioria dos servidores web estão desactualizados
Tudo o que é site/serviço online necessita de um servidor web que é responsável por gerir todos os pedidos HTTP/HTTPS (geralmente originados nos browsers dos clientes) e por enviar a respectiva resposta (que na prática é enviar o conteúdo solicitado do site).
Neste segmento dos servidores Web, o Apache lidera destacado com cerca de 38%, apesar de nos últimos anos ter perdido muitos “adeptos”. Mas estarão os servidores web Apache actualizados por essa Internet fora? A resposta é NÃO!
O Apache Web Server foi criado em 1995 por Rob McCool, que na altura era funcionário da NCSA (National Center for Supercomputing Applications). Este servidor web é distribuído numa variedade de plataformas, das quais se incluem o Windows, Linux, Novel, Mac, OS/2 BeOS e, é provavelmente um dos servidores web mais seguro, eficiente e com melhor documentação.
Segundo dados já de Fevereiro, o Apache serve por cerca de 38%, seguido do IIS da Microsoft com 33%.
Apesar de este ser o servidor web mais usado na Internet, a verdade é que o Apache tem vindo a perder seguidores (nos últimos dois anos – ver aqui), que têm migrados para outros servidores web. Num estudo lançado recentemente pela NetCraft, conclui-se que a maioria dos servidores web em produção, têm versões antigas, vulneráveis e até já sem suporte.
Como podemos ver pelo gráfico seguinte, que corresponde a um TOP 15 das versões Apache mais usadas, cerca de 37 milhões de sites em tudo o mundo continuam a ter como servidor Web o Apache 2.2.22. De facto as versões 2.2.x do Apache são as mais predominantes.
Tanto o Apache 1.3.41 e Apache 2.0.63 já não têm suporte mas ainda continuam a ser usados em mais de 6 milhões de servidores Web.
A última versão do Apache é a 2.4, mais concretamente a versão 2.4.7 que foi lançada em Novembro de 2013. Segundo o estudo, actualmente apenas 1% de todos os servidores Web com Apache estão actualizados com essa versão.
A Netcraft refere também que há muitos sites que omitem a versão do Apache em uso, como é o caso do site da Wikipedia, BBC, NYTimes e Paypal..entre outros.
Como podemos ver, são muito poucos os servidores web que correm a última versão do Apache. Isto quer dizer que existem muitos sites informativos, de comercio online, de empresas…etc, que se encontram vulneráveis.
Homepage: NetCraft
Este artigo tem mais de um ano
Loading ...
De facto o que faz uma noticia, é “O homem que mordeu o cão” e nunca o contrário.
Por breves momentos, (depois de ler o titulo bombástico deste artigo), pensei que o IIS fosse mais seguro que o Apache…
Arrrff.
Mas ok, fica o aviso à navegação para a recorrente letargia nesta matéria que por vezes acontece após a colocação de um servidor em produção.
Boas httpd.conf
Mas repara que a percentagem do apache para o iis é ja pouca .. Fiquei admirado com tais valores. No entanto é o apache que está em quebra
Se se comparar o número de falhas de segurança dos dois, o IIS é de longe mais seguro.
Ou esse critério só vale quando é ao contrário?
O IIS mais seguro? Piada do dia… Olhando para as estatisticas chega-se a conclusão que 2 terços das paginas web correm em Linux/BSD e que os servidores web baseados em Windows aumentaram bastante nos ultimos anos.
Como é que o aumento de páginas se traduz em segurança?
É o mesmo que dizeres que o Windows é mais seguro que Linux porque tem mais cota de mercado…
Acho que o título está um tanto ou quanto errado. Pelo que dizem no artigo, não é por culpa do APACHE que os websites estão vulneráveis, porque este já tem actualizações que corrigem as vulnerabilidades. Os administradores, sim, é que deviam preocupar-se com isso.
A APACHE já fez o que devia fazer. Só usa versões anteriores quem não pretende actualizar.
Ca está, nem mais, nem menos, só tem desatualizado quem quer!
Concordo, o título está desadaptado do contexto, quem lê o título parece que o Apache é um buraco, quando na verdade buraco é quem não faz o trabalho como deve ser. A noticia só vem revelar as más politicas de segurança informática e más práticas por parte dos administradores de sistema, esses sim devem ser alvo de criticas.
PS: esse gráfico da netcraft, o primeiro, a colocação da legenda está mesmo “genius”
os moços estavam mais preocupados com a década passada xD
Cada pedreiro…
Nelson o importante ali é de facto a legenda de fevereiro de 2014. Era isso que queríamos evidenciar
Eu sei sei que a culpa não é vossa 😉
Eu acredito, talvez até ingenuamente, que a maioria dos serviços de grande dimensão devem ter o apache minimamente actualizado.
O problema de actualizar o apache ou outro webserver tem a ver com a continuidade de funcionamento dos sites em si. Nem sempre é possível garantir que após uma actualização, o que funcionava bem continuará a funcionar. Isto carece de tempo de teste e atrasa a implementação dos updates.
Não tem nada, porque qualquer site decente tem várias máquinas a servir e não têm de estar todas online ao mesmo tempo. Nos outros sistemas de uma só máquina, é uma questão de menos de um minuto.
teem os dois razao… 😉
Se e verdade que existe escalabilidade horizontal(a utilizaçao em paralelo de maquinas a servir http…), tambem e verdade que as empresas nao querem ter muitos gastos com sysadmins…
quando estes sao o garante do seu negocio, mas quem esta a mandar bitaites no topo das empresas…nao percebe nada da poda…e depois tens muito poucos sysadmins para as tarefas que são mais que muitas…
E isto torna a vida de um sysadmin num inferno…
nao tendo nem tempo para se coçarem as vezes…haverá de tudo obviamente…
depois claro, como e sempre a correr, existe muita coisa que poderia ser feita, que fica em segundo plano, porque estão sempre a chegar coisas novas para fazer :S
Existe o problema da compatibilidade, que vai requerer muito tempo de analise e teste das novas versões, e formas de speedar os requests…
Depois disto tudo…bem e como dizes nelson…basta desabilitar os servidores 1 a 1 e fazer as actualizaçoes…mas para isto tem que se testar sempre se esta tudo ok…
O problema e que os sites investem em developers…mas cortam nos sysadmins…e depois e uma corrida ao sprint…e tens que aguentar o dia todo…ha e no dia a seguir a coisa repete-se…and so on…
Depois dizem que os sysadmins linux sao caros…big lol
trabalham que nem escravos, se calhar queriam-os de borla…heheh
A pessoa que compra um host para pôr o website, não tem de contratar nenhum sysadmin.
O host em si, tem os seus proprios tecnicos e sysadmin, logo não faz sentido nenhum o que disseste “O problema e que os sites investem em developers…mas cortam nos sysadmins…e depois e uma corrida ao sprint…e tens que aguentar o dia todo…ha e no dia a seguir a coisa repete-se…and so on…”.
E sim, há servidores backup, mas não estamos a falar de um host com 2 servidores e 1 sysadmin, hosts têm centenas de servidores e actualizar as maquinas demora o seu tempo.
estas a ver a coisa do ponto de vista do utilizador final…ou quase…
mas por trás disso tudo, esta uma equipa a trabalhar…
Tens os dois formatos…
os sites “caseiros”, ou mais pequenos que teem pouco tráfego e nestes a administração, é feita até por quem desenvolve o site…
E tens depois os sites gigantes, com grande tráfego…esses requerem que haja equipas de sysadmins por trás, para desenhar o site…
Quando digo desenhar, não me estou a referir ao bonecos nas páginas…isso será feito por alguém de multimédia.
refiro-me isso sim, a toda a estructura e a optimização da mesma para que o site, ou os sites possam funcionar correctamente, e serem rápidos…
Nestes casos…tempo é dinheiro…os sites não pode cair!!!
É muito guito que se perde e prestigio…dependendo do negocio é claro…
De qualquer das formas, os fornecedores de hosting, também teem que ter equipas de sysadmins, para gerirem a sua infraestructura…
“O host em si, tem os seus proprios tecnicos e sysadmin, logo não faz sentido nenhum o que disseste “O problema e que os sites investem em developers…mas cortam nos sysadmins…e depois e uma corrida ao sprint…e tens que aguentar o dia todo…ha e no dia a seguir a coisa repete-se…and so on…”.”
Os sites grandes…teem equipas de sysadmins para toda a infraestructura, e developers para desenvolverem o site…é a estes casos que me referia…
Quem tem de actualizar o apache é o host e não os donos dos websites, continua sem fazer sentido.
E se tiveres uma VPS?….
José…
depois do que expliquei…só não percebe se não quiser…
int3…
quem tem uma vps, está dependem-te da equipa de sysadmins que a fornecedora tem…
Uma das vantagens de ter administração local, é mesmo o facto de poderes fazer tudo…o que não acontece nessa situação, pois dependes de 3º’s…mas por norma as empresas de hosting até trabalham bem…porque são obrigadas a isso.
Quanto a testes, acho que depende, eu não sei, mas suponho que a apache mantenha as versões 2.2 e 2.4 do httpd mesmo por causa da eventuais problemas de compatibilidade, não? É que eles têm feito as correcções de segurança em simultâneo, nas duas versões… Pelo que tenho visto…
sim, o apache 2.2 já não é mais desenvolvido a nível de features..
Apenas updates de segurança, e estabilidade.
Para quem ainda não migrou, é muito bom..
Existem diferenças entre o 2.2 e o 2.4, muitas config’s mudaram, umas apenas de nome, outras até em funcionalidades…
Deve-se ter um servidor de testes,ou vários fazer o upgrade e testar, ver logs, etc.
O 2.4 é mais agressivo a nivel de recursos de hardware, até porque permite lançar varias threads por processo, etc…coisa que o anterior 2.2 não permitia..
Supostamente será mais rápido que o 2.2, mas tudo depende das config’s que temos…
ele surgiu, porque servidores como nginx, entre outros, davam 10-0 ao apache a servir paginas estáticas…o que era em parte vergonhoso..a versão 2.4 tenta resolver este problema, mas mesmo assim em paginas estáticas não bate o nginx.
No entanto o apache ganha ao nginx a servir paginas dinâmicas 😀
Também discordo do título, a causa será a má manutenção / configuração dos servidores.
Não o Apache que recebe aqui uma má publicidade gratuita. Isto para quem só lê as “gordas” que acredito serem muitos.
É verdadade. Quem não se actualiza está sujeito. E não me prolongo mais…
Incrível!!! A ser verdade estes estudos, os meus servidores estão nos “others”…
Concordo com o Abílio, pois quando passei pelo cabeçalho da notícia, pensei que tinham descoberto uma vulnerabilidade super grave.
+1
Esta notícia está errada. Isto só válida as versões instaladas por aí fora.
Ex. Um RHEL 5 esta 100% actualizado e não usa a última versão do Apache.
Esta notícia e o mesmo que dizer que quem usa Windows 7 está a correr perigo, pois não usa Windows 8.1.
Acho que devem deixar de deixar tão paranóicos e terem cuidado com o que dizem, pois pode haver muita boa gente que forma opiniões baseado no que voçês escrevem.
Obrigado
Exatamente, além disso não nos podemos de dar ao luxo de sofrer “down times” por efetuar qualquer atualização de software num ambiente de produção. Penso que se suscitar interesse em tentar encontrar alguma falha num servidor é porque o mesmo vale o trabalho, logo o pessoal por trás dele estará na maioria dos casos atento a falhas no sistema.
“Milhões de sites estão vulneráveis por causa do… Apache”
FALSO
“Maioria dos servidores web estão desactualizados”
FALSO
Tal como refere o Luis Rodrigues, não é por se ter uma versão anterior à última disponibilizada que ela está desatualizada ou insegura.
O exemplo da M$ é elucidativo, ainda há updates de segurança para Vista (alguém usa), seven e 8. Apesar de a última versão ser o 8.1. Qual é mais seguro?
Procure-se por exploits e verifica-se que existem sempre para a grande parte das versões (senão todas), se depois há patches aplicados é outra história.
A versão mais recente também tem de facto uma vantagem, pois está há menos tempos a ser bombardeada… E por isso deve ter menos exploits encontrados…
Por outro lado, é onde há muita atividade de investigação e também deve surgir em alta nas pesquisas…
Por isso, o ocultar da versão do webserver pode ser benéfico pois introduz um passo prévio de “guess what version I’m running” antes de se poder utilizar um exploit conhecido.
Por utdo isto, penso que deveriam utilizar uma terminologia mais assertiva de forma a não induzir em erro os leitores mais incautos.
Eu compreendo o que queres dizer e sei também que a segurança pode não depender apenas do Apache. aliás há empresas que criam os seus próprios updates…mas repara
A further 6.0 million websites are still using Apache 1.3.x, even though the final version in this branch was released four years ago. The release of Apache 1.3.42 in February 2010 marked the end of life for the 1.3 branch, although 2.4 million sites are still using the previous version, (1.3.41), which contains a denial of service and remote code execution vulnerability in in its mod_proxy module.
Não é alarmante?
+1
Concordo cntg Jonh, alias foi de longe o comentário mais acertivo aqui.
Porém os numéros são alarmantes, e já que pegas-te no exemplo do Windows tens aí um bom exemplo.
Windows XP, é alarmante (de certa forma) como ainda tantas empresas usam, não é a questão de “não estar seguro” é a questão “poderia estar mais seguro”.
Cumpz
Boas Luis
Se actualizarem os servidores, desde que testados com antecipação, não vejo qualquer problema..aliás os updates são para isso mesmo senão apenas se lançavam patchs. Como administrador de uma maquina com apache, cada um deverá ter os conhecimentos necessários para gerir o serviço. Ser estável não significa que seja seguro
Vou na 2.2.25. Não está mau de todo.
É a ultima, está atualizada ao máximo em termos de segurança 😉
Fazer upgrade para a 2.4, só pelas novas funcionalidades.
Já estou na 2.4.7 nos meus 2 servidores 😀
Acho que dizer como se vê a versão que se tem e como se actualiza para uma mais recente iria tornar esta noticia mais útil.
Algo do tipo:
httpd -v
Exemplo de output
Server version: Apache/2.2.22 (Unix)
Server built: Feb 23 2012 12:27:57
Obrigado pelo artigo 🙂
Acabei de ser censurado lol.
Dei a minha opinião e eliminaram o meu comentário..
A questão é que os técnicos de informática deste país e dos outros, interessam-lhes isso, pensam que mantém o seu posto de trabalho, mas na verdade, só passam por incompetentes. É sempre mais fácil apontar o dedo a um operador ou a um prestador de serviços.