Search the Community
Showing results for tags 'Apache'.
Found 4 results
-
W bibliotekach XML stworzonych przez Suna, Apache Software Foundation, Python Software Foundation i Gnome Project odkryto poważne błędy umożliwiające przeprowadzenie ataku DoS. Wykorzystujące je aplikacje są zagrożone, a aplikacji takich są prawdopodobnie miliony - mówi Dave Chartier, szef firmy Codenomicon, która odkryła błąd. Codenomicon produkuje narzędzie Defensics, które zajmuje się automatycznym analizowaniem kodu pod względem bezpieczeństwa. Na początku roku dodano do niego możliwość analizowania XML. Już pierwsze testy wykazały, że popularne biblioteki zawierają liczne luki. Dziury mogą zostać wykorzystane poprzez zachęcenie użytkownika do otwarcia odpowiednio spreparowanego pliku XML lub też wysłanie zapytania do witryny zawierającej spreparowany kod XML. Następstwa skutecznego ataku mogą być poważne - od możliwości przeprowadzenia ataku DoS po wykonanie szkodliwego kodu na zaatakowanej maszynie - czytamy na stronach Codenomicon. Firma od dłuższego czasu współpracuje z producentami oprogramowania i fińskim CERT-em w celu rozwiązania problemu. Implementacje XML-a są wszechobecne, znajdziemy je w systemach i usługach, w których byśmy się ich nie spodziewali. Dla nas najważniejsze jest, by użytkownicy końcowi i organizacje, którzy używają tych bibliotek zainstalowali ich najnowsze wersje. Niniejsze oświadczenie to początek długiej drogi rozwiązywania problemów, która zakończy się dopiero wówczas, gdy łaty zostaną zastosowane w systemach produkcyjnych - mówi Erka Koivunen z CERT-FI.
-
Coverity policzyło luki bezpieczeństwa w Open Source
KopalniaWiedzy.pl posted a topic in Technologia
Na zlecenie amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego (DHS) przeprowadzono badania dotyczące liczby luk bezpieczeństwa w kodzie popularnych opensource’owych programów. Specjaliści przyjrzeli się m.in. Sambie, PHP, Perlowi czy Amandzie. Z badań wynika, że w tego typu oprogramowaniu można znaleźć średnio 1 błąd bezpieczeństwa na 1000 linii kodu. Od czasu, gdy DHS rozpoczął swój projekt poprawiania luk w programach typu Open Source, naprawiono 7826 takich dziur, czyli jedną co dwie godziny. Departament w marcu 2006 roku zapłacił firmie Coverity 300 000 dolarów za sprawdzenie kodu 180 opensource’owych programów, z których wiele jest używanych przez agendy amerykańskiego rządu. Przyjrzyjmy się zatem, jak sprawowały się najpopularniejsze z tych programów. W Sambie znaleziono 236 błędów w 450 000 linii. Tak więc wypada ona znacznie lepiej, niż przecięty opensource’owy projekt. Z tych 236 błędów poprawiono 228. Bardzo dobrze wypada też Linux. W jądrze 2.6 odkryto 0,127 błędu na 1000 linii. Jądro to składa się z 3 milionów 639 tysięcy 322 linii. Kolejne badania dowiodły, że w ciągu ostatnich dwóch lat developerzy Linuksa usunęli 452 błędy w jądrze, 48 jest potwierdzonych, ale jeszcze niezałatanych, a kolejnych 413 błędów czeka na potwierdzenie i łaty. Z kolei we FreeBSD znaleziono 1 błąd na 2615 linii kodu, jednak dotychczas twórcy tego systemu nie poprawili żadnego z 605 niedociągnięć. Serwer Apache składa się ze 135 916 linii, a liczba błędów wynosi 0,14 na 1000 linii. Dotychczas poprawiono 3 błędy, potwierdzono istnienie 7, które jeszcze nie zostały załatane, a 12 dalszych czeka na potwierdzenie i łaty. Bardzo dobrym rezultatem może poszczycić się system bazodanowy PostgreSQL. Wśród 909 148 linii częstotliwość występowania błędów wynosi 0,041 na 1000 linii. Dotychczas załatano 53 luki znalezione przez Coverity, czyli wszystkie, których istnienie potwierdzono. Na weryfikację i łaty czeka 37 dziur. Jednak najlepszy wynik osiągnął jeden z najczęściej używanych przez developerów programów, biblioteka glibc. W 588 931 liniach kodu wykryto jedynie 83 błędy, które zostały załatane na bieżąco. Teraz w glibc nie istnieje żaden znany błąd. Podobnie zresztą jak w Amandzie (99 073 linie) i courier-maildir (82 229 linii). Coverity zbadało też graficzne interfejsy użytkownika. W KDE w 4 712 273 liniach kodu poprawiono 1554 błędy, zweryfikowano 25, a na potwierdzenie czeka jeszcze 65. Z kolei Gnome w 430 809 liniach poprawiło 357 błędów, potwierdzono istnienie 5, a 214 czeka na weryfikację. W popularnym OpenVPN znaleziono tylko 1 błąd (na 69 223 linie), ale nie został on jeszcze poprawiony. Z kolei OpenSSL składa się z 221 194 linii kodu. Dotychczas poprawiono 24 luki, 1 potwierdzono, a 24 czekają na weryfikację. Coverity nie chciał natomiast ujawnić wyników testowania produktów o zamkniętym kodzie. Firma na zlecenie swoich klientów sprawdziła 400 takich produktów. Nasi klienci nie byliby zadowoleni, gdybyśmy ujawnili liczbę błędów w ich kodzie – stwierdzili przedstawiciele Coverity. -
Firma Port80 Software, która okresowo bada witryny firm z listy Fortune 1000 potwierdza ostatnie doniesienia Netcrafta – opensource’owy serwer Apache traci rynek na rzecz microsoftowego IIS. Na Fortune 1000 znajdziemy 1000 największych amerykańskich firm. Badania wykazały, że serwer IIS 6 zyskał w ciągu roku 9,5 punktów procentowych i po raz pierwszy ma więcej rynku niż IIS 5. Serwery IIS już od czterech lat mają większy udział w rynku największych firm. Obecnie wynosi on już 55%. Tymczasem serwery Apache są używane przez 24,9 procenta firm. Niedawno firma Netcraft doniosła, że badania 128 milionów witryn wykazały, iż serwer Apache traci rynek i obecnie należy do niego 48,42%. Natomiast IIS zyskuje, a jego udziały zwiększyły się do 36,21%. Równie dobrze wiedzie się takim serwerowym aplikacjom Microsoftu jak ASP.NET i ASP. Obecnie posiadają one 51,5 procenta rynku firm z listy Fortune 1000, co oznacz wzrost o 7,9% od 2005 roku. Inne aplikacje, takie jak platformy Javy (J2EE, JSP, WebLogic, WebSphere, Tomcat), PHP czy ColdFusion posiadają w sumie 24% tego rynku. Robin Bloor, szef Bloor Research, nie sądzi jednak, by oznaczało to, iż oprogramowanie opensource’owe popadnie w jakieś szczególne kłopoty. Jego zdaniem rozwija się ono po prostu w innym tempie, niż programy o zamkniętym kodzie. Bloor przypomina marcowe doniesienia firmy badawczej IDC, z których wynikało, że biorąc pod uwagę udziały rynku badane pod kątem wartości serwerów, do serwerów linuksowych należy 12,7% rynku, a do windowsowych – 38,8%. Resztę stanowią udziały Uniksa. Dane te pochodzą jednak tylko od największych producentów serwerów i nie uwzględniają maszyn samodzielnie zbudowanych przez ich użytkowników. A zdaniem Bloora 4. producentem serwerów na świecie jest Google, które buduje je na swoje potrzeby. Bloor uważa, że w przyszłości Linux zdominuje rynek serwerów dzięki krajom takim jak Chiny, Indie i Brazylia, w których jego udziały rosną szybciej, niż udziały oprogramowania o zamkniętym kodzie. Główną zaleta Linuksa jest bowiem fakt, że wykorzystując go można budować własny lokalny przemysł oprogramowania.
-
Holenderska firma WatchMouse, która specjalizuje się w badaniach wydajności serwerów, postanowiła porównać witryny korzystające z oprogramowania Windows i Linux. Opierając się na danych z 1500 europejskich witryn WatchMouse stwierdziła, że serwery linuksowe są bardziej wydajne. Serwery korzystające z opensource’owych systemów notowały mniej przestojów, a hostowane na nich strony ładowały się szybciej. Pod uwagę wzięto maszyny firm z bardzo różnych sektorów gospodarki, od badań kosmicznych poprzez sztukę i rozrywkę po serwery rządowe czy medyczne. Bardzo interesująco wygląda zestawienie rynkowych udziałów serwerów. Okazuje się, że microsoftowy IIS cieszy się w Europie większą popularnością niż linuksowy Apache. Wyraźne są jednak różnice pomiędzy poszczególnymi krajami. W Wielkiej Brytanii do serwerów Microsoftu należy 59% rynku. Daleko z tyłu pozostał Linux z 17%, a tuż za nim uplasował się Solaris (15%). Podobna sytuacja jest w Szwecji, gdzie chętniej wybierany jest IIS. Z kolei w Polsce i Niemczech przewagę ma Apache. Badania WatchMouse wykazały też, że jedynie 25% serwerów pracuje przez 99,9% czasu, co oznacza, że w sumie w ciągu roku przestoje są krótsze niż 8 godzin. Aż 66% serwerów jest niedostępnych przez dłużej niż osiem godzin co, według WatchMouse, jest wynikiem nieakceptowalnym.
-
- WatchMouse
- Microsoft
- (and 4 more)