Deny All : Déni de service sur Apache Que s’est-il passé ?
septembre 2011 par deny all
Une vulnérabilité qui conduit à un déni de service a été découverte récemment. Ce déni de service est
très efficace, car il suffit de peu de ressources côté attaquant pour interrompre le service d’un serveur
à forte capacité de traitement.
Des outils permettant d’exploiter l’attaque sont d’ores et déjà disponibles.
Un patch Apache sera réalisé dans les jours à venir pour les versions 2.0 et 2.2. En revanche, à ce
jour rien n’est prévu pour les versions 1.3.
Description de l’attaque
L’attaque s’appuie sur une erreur dans le mécanisme de gestion du header « Range ». Cette attaque
peut être perpétrée lorsque le contenu de la réponse est « bufferisé », notamment lors de l’utilisation
de mod_deflate, c’est-à-dire de la compression des réponses.
Recommandation
Cette attaque est bloquée par défaut par rWeb (3.x et 4.0) ainsi que par sProxy (2.6 et 4.0).
L’équipe du DARC recommande uniquement aux clients utilisant rWeb et sProxy de vérifier que la
règle qui limite la longueur maximale des headers n’a pas été désactivée par erreur.
En effet les restrictions imposées par ce filtre interdisent les attaques faisant usage d’un nombre de
« Range » trop important. Dans ce contexte l’attaque n’est plus efficace et la consommation de
mémoire additionnelle reste limitée (de l’ordre de 1% à 2% maximum).