Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
25/08/2011
Nous atacs sobre un vell DoS d'Apache
En els últims dies ha ressorgit una vella vulnerabilitat sobre Apache, que provoca la interrupció del servei.Un fallada –en la forma en què el popular servidor web Apache es maneja alguns tipus de peticions amb la capçalera HTTP "Range"– pot permetre a un atacant remot causar una condició de denegació de servei en un servidor vulnerable. Aquest problema afecta totes les versions existents d'Apache, tant en les seues branques anteriors (1.3.X i 2.0.x) com en l'actual branca 2.2.X, i s'han detectat atacs que aprofiten aquesta vulnerabilitat. Des de l'Apache Software Foundation s'està treballant en un pedaç que solucione aquest problema.
Aquesta vulnerabilitat en Apache es coneix des de fa més de quatre anys, quan l'investigador Michael Zalewski la va descobrir i ho va publicar en un post de Bugtraq. Zalewski va dir, ja el 2007, que l'atac era relativament simple i no especialment innovador. «Combinant açò amb la funcionalitat de reescalat de finestra (segons el RFC 1323), em sembla que una sola petició curta pot ser suficient per a fer que el servidor comence a ocupar gigabytes de dades de forma anòmala, sense importar la grandària del fitxer en el servidor, el comptador de connexions o els límits en les peticions "Keep-Alive" implementats pel servidor», va escriure Zalewski.
Però sembla que la vulnerabilitat mai va ser solucionada per Apache i va ressorgir a finals de la setmana passada quan un altre investigador, conegut com Kingcope, va enviar un missatge amb detalls sobre la mateixa a Full Disclosure. Kingcope també va publicar que un script en Perl realitzava l'atac, consumint tota la memòria del servidor Apache remot. Aquest missatge va provocar una llarga discussió en la llista de correu sobre la severitat i naturalesa de la vulnerabilitat, així com una discussió separada en la llista de correu d'Apache, sobre possibles mesures per a mitigar aquest problema.
"Almenys Apache 2.2.17 té una vulnerabilitat de denegació de servei que pot ser explotada remotament, i que permet a l'atacant consumir tota la memòria disponible en el sistema atacat. Una petició provocant aquesta fallada inclou una gran capçalera de tipus "Range", que sol·licita tants bytes diferents com siga possible d'un fitxer servit per httpd. Combinant açò amb una capçalera "Accept-Encoding" que comprimesca les dades, s'assumeix que el servidor httpd ha de comprimir cada un dels bytes sol·licitats per separat, consumint grans regions de memòria. Aquest comportament, que comprimeix els fluxos de dades, és devastador i pot provocar que el sistema sobre el qual corre el servidor es torne inutilitzable quan les peticions es realitzen de forma paral·lela. Els símptomes són: intercanvi (swapping) i mort de processos per falta de recursos, entre els que es pot trobar, encara que no sempre, el procés “httpd", que va citar Kingcope en l'informe de fallada que va introduir en Apache Bugzilla.
Sistemes Afectats:Apache 1.3.X, en totes les seues versions
Apache 2.0.X, en totes les seues versions
Apache 2.2.X, en totes les seues versions
CVE-2011-3192
Solució:Apache està desenrotllant un pedaç per a aquest problema, però aparentment no estarà disponible fins d'ací a uns dies més. Es poden trobar algunes possibles mitigacions en aquest enllaç.
Notes:http://threatpost.com/en_us/blogs/apache-dos-bug-resurfaces-spurring-new-attacks-082411
http://secunia.com/advisories/45606/
http://www.h-online.com/security/news/item/Tool-causes-Apache-web-server-to-freeze-1330105.html