Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut ouvrir de nombreuses connexions durables vers un
serveur Apache httpd ou nginx utilisant PHP-FPM/PHP-CGI, afin de
mener un déni de service.

Produits concernés : Apache httpd, nginx, PHP

Gravité : 2/4

Date création : 06/05/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Un serveur web (Apache httpd, nginx) peut supporter le langage
PHP, en utilisant :
– mod_php : le module est chargé dans le processus du serveur web.
– PHP-FPM, PHP-CGI : des processus indépendants communiquent avec
le serveur web.

Cependant, en jouant sur les timeout et les keep-alive, un
attaquant peut utiliser peu de ressources, pour saturer (mémoire
et nombre de connexions) PHP-FPM et PHP-CGI.

Un attaquant peut donc ouvrir de nombreuses connexions durables
vers un serveur Apache httpd ou nginx utilisant PHP-FPM/PHP-CGI,
afin de mener un déni de service.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Apache-httpd-nginx-deni-de-service-via-PHP-FPM-PHP-CGI-14701