Vigil@nce - Apache httpd, nginx : déni de service via PHP-FPM/PHP-CGI
mai 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut ouvrir de nombreuses connexions durables vers un
serveur Apache httpd ou nginx utilisant PHP-FPM/PHP-CGI, afin de
mener un déni de service.
Produits concernés : Apache httpd, nginx, PHP
Gravité : 2/4
Date création : 06/05/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Un serveur web (Apache httpd, nginx) peut supporter le langage
PHP, en utilisant :
– mod_php : le module est chargé dans le processus du serveur web.
– PHP-FPM, PHP-CGI : des processus indépendants communiquent avec
le serveur web.
Cependant, en jouant sur les timeout et les keep-alive, un
attaquant peut utiliser peu de ressources, pour saturer (mémoire
et nombre de connexions) PHP-FPM et PHP-CGI.
Un attaquant peut donc ouvrir de nombreuses connexions durables
vers un serveur Apache httpd ou nginx utilisant PHP-FPM/PHP-CGI,
afin de mener un déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-httpd-nginx-deni-de-service-via-PHP-FPM-PHP-CGI-14701