Actu
XMCO : Une nouvelle technique permet de provoquer un déni de service d’un serveur web Apache
juin 2009 par XMCO PARTNERS
Slowloris HTTP DoS
– Date : 18 Juin 2009
– Plateforme : Toutes
– Programme : Apache
– Gravité : Elevée
– Exploitation : Distante
– Dommage : Déni de service
– Description :
RSnake (Robert Hansen), chercheur en sécurité vient de dévoiler une faille de sécurité permettant de provoquer un déni de service d’un serveur web Apache.
Auparavant, les techniques de déni de service reposaient surtout sur l’envoi d’un très grand nombre de paquets TCP (cf SYN flood). Rsnake vient de découvrir un nouveau moyen pour provoquer les mêmes dégâts, mais avec un nombre limité de requêtes. Pour cela, le chercher a développé un script publié sur Internet.
Ce script développé en Perl permet d’envoyer des requêtes HTTP malformées (requêtes incomplètes). Le serveur web ciblé reçoit ces paquets, ouvre une connexion et attend la fin de la requête. Cependant, le script n’enverra jamais la fin de la requête et continuera à envoyer des requêtes incomplètes pour maintenir l’état de la connexion. En ouvrant plusieurs connexions de ce type, le pirate provoquera une consommation de toutes les sockets disponibles...
Première requête envoyée :
GET / HTTP/1.1\r\n
Host : host\r\n
User-Agent : Mozilla/4.0 (compatible ; MSIE 7.0 ; Windows NT 5.1 ; Trident/4.0 ; .NET CLR 1.1.4322 ; .NET CLR 2.0.503l3 ; .NET CLR 3.0.4506.2152 ; .NET CLR 3.5.30729 ; MSOffice 12)\r\n
Content-Length : 42\r\n
Après un certain temps, le script renvoie l’entête suivante qui maintiendra la connexion courante ouverte tant que la fin de la requête ne sera pas envoyée : X-a : b\r\n
Un script a été développé et pourrait être utilisé sur Internet à des fins malveillantes...
Note : IIS n’est pas vulnérables à cette attaque.
Note : La vulnérabilité est exploitable sur les serveurs web utilisant des processus fils pour chaque connexion.
– Vulnérable :
* Apache 1.x
* Apache 2.x
* dhttpd
* GoAhead WebServer
* Squid
– Non Vulnérable :
* IIS 6.0
* IIS 7.0
* Lighthttpd
– Référence :
ha.ckers.org/slowloris/
ha.ckers.org/blog/20090617/slowloris-http-dos/
– Correction :
Aucun correctif n’est disponible. Il est possible d’augmenter le paramètre "MaxClients" au sein de la configuration d’Apache mais cette action ne résoudra pas totalement le problème. En effet, en envoyant un plus grand nombre de requêtes, le pirate pourra toujours provoquer l’arrêt du serveur web...
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=1245329478
