Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Apache httpd, déni de service

juin 2009 par Vigil@nce

Un attaquant peut épuiser le nombre maximal de clients autorisés à se connecter sur le serveur Apache httpd, dans sa configuration par défaut.

Gravité : 1/4

Conséquences : déni de service du service

Provenance : client internet

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 19/06/2009

PRODUITS CONCERNÉS

- Apache httpd

DESCRIPTION DE LA VULNÉRABILITÉ

Lorsqu’un client se connecte sur le service httpd, il doit envoyer une requête HTTP de la forme :
GET / HTTP/1.0
Host : serveur
Entêtes : etc.

Tant que Apache httpd n’a pas reçu la requête complète, il attend au maximum TimeOut secondes avant de clore la session.

Lorsque MaxClients clients sont connectés simultanément sur le service, les clients suivants ne peuvent plus accéder au service.

Un attaquant peut donc ouvrir de nombreuses sessions parallèles, dans lesquelles il envoie la requête par fragment de quelques octets, afin de faire perdurer ces sessions et d’atteindre MaxClients. Les utilisateurs légitimes ne peuvent alors plus utiliser le service.

Un attaquant peut donc épuiser le nombre maximal de clients autorisés à se connecter sur le serveur Apache httpd, dans sa configuration par défaut.

Le serveur web IIS emploie une logique différente et n’est pas perturbé par ce déni de service. Par exemple, lorsqu’une nouvelle session arrive, la plus ancienne session inactive ou non complète est close.

CARACTÉRISTIQUES

Références : 47386, VIGILANCE-VUL-8809

http://vigilance.fr/vulnerabilite/Apache-httpd-deni-de-service-8809




Voir les articles précédents

    

Voir les articles suivants