De beperkende maatregelen bleken de webserver namelijk al erg goed te beschermen, laat de Nederlander weten. Hij meldt dit in antwoord op vragen van Webwereld over het uitblijven van een fix. Die is vannacht toch nog verschenen: Apache 2.2.20 dicht het denial of service-gat (DoS-gat) dat met een tool vanaf een enkele pc was te benutten om Apache-webservers plat te leggen.

Van Gullik bevestigt dat de beloofde fix eigenlijk afgelopen weekend moest verschijnen, wat dinsdag nog altijd niet was gebeurd. De beperkende maatregelen (mitigations) bleken volgens hem dermate effectief te zijn dat de druk van de ketel is, mailt de Apache-grondlegger.

Dieperliggende oorzaak

“En ondertussen blijkt dat de fout nogal inherent is aan het protocol", vervolgt hij. Die bron van het denial of service-gat (DoS) in de veelgebruikte webserver is door Van Gullik ook al aangewezen in de discussie over de bug op de Apache-mailinglist. Dat is de implementatie van de Range-functionaliteit voor webserververzoeken, wat in 2007 al is opgemerkt als kwetsbaarheid.

Een aanpassing van het betreffende http-protocol wordt al besproken door internetstandaardenorganisatie IETF (Internet Engineering Taskforce). Het is niet bekend of - en wanneer dan - er een aanpassing valt te verwachten. Daarnaast heeft de open source-webserver ook een inefficiënte afhandeling van niet-valide http-verzoeken, schrijft hij daar. Daar moet nog wel een fix voor komen, aldus Van Gullik.

Geen consensus over fix

Hij geeft ook aan dat het ontwikkelen van een patch is bemoeilijkt door vakanties (de Britse bank holidays) en de problemen die orkaan Irene heeft veroorzaakt aan de Amerikaanse oostkust. Het uitblijven van een patch voor de bug, waar al een simpele DoS-tool voor is verschenen, is volgens Van Gullik geen groot probleem.

“Als je op de mailinglijst kijkt, zie je overigens minstens drie goede en uitgewerkte fixes - maar er is nog geen consensus welke de definitieve wordt." Ook is er nog geen overeenstemming onder de Apache-ontwikkelaars of ze nu een fix moeten uitbrengen en over een paar maanden weer een andere. “Dat hangt ook af van de IETF-discussie."

Platformspecifieke fixes

Ondertussen hebben platformleveranciers zich wel snel gestort op het webserverlek. Zo hebben de ontwikkelaars van Linux-distributie Debian al packages uitgebracht om de kwetsbaarheid af te dekken in Apache op Debian. Dergelijke updates zijn platformspecifiek en dus niet van toepassing voor Apache op andere besturingssystemen. Voor Red Hat-gebruikers zijn er instructies om het gat af te dekken.