Gravité : 1/4

Conséquences : déni de service du service

Provenance : client internet

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 19/06/2009

PRODUITS CONCERNÉS

– Apache httpd

DESCRIPTION DE LA VULNÉRABILITÉ

Lorsqu’un client se connecte sur le service httpd, il doit envoyer
une requête HTTP de la forme :
GET / HTTP/1.0
Host : serveur
Entêtes : etc.

Tant que Apache httpd n’a pas reçu la requête complète, il attend
au maximum TimeOut secondes avant de clore la session.

Lorsque MaxClients clients sont connectés simultanément sur le
service, les clients suivants ne peuvent plus accéder au service.

Un attaquant peut donc ouvrir de nombreuses sessions parallèles,
dans lesquelles il envoie la requête par fragment de quelques
octets, afin de faire perdurer ces sessions et d’atteindre
MaxClients. Les utilisateurs légitimes ne peuvent alors plus
utiliser le service.

Un attaquant peut donc épuiser le nombre maximal de clients
autorisés à se connecter sur le serveur Apache httpd, dans sa
configuration par défaut.

Le serveur web IIS emploie une logique différente et n’est pas
perturbé par ce déni de service. Par exemple, lorsqu’une nouvelle
session arrive, la plus ancienne session inactive ou non complète
est close.

CARACTÉRISTIQUES

Références : 47386, VIGILANCE-VUL-8809

http://vigilance.fr/vulnerabilite/Apache-httpd-deni-de-service-8809