Denegación de servicio en Apache a través de Range header - xombra.com



El día 19 de agosto, viernes, Kingcope hizo público un sencillo exploit en Perl que permitía provocar una denegación de servicio en Apache desde un solo sistema. Cuando menos, el rendimiento del servidor atacado se reducían considerablemente. Hacía mucho tiempo que no se publicaba un exploit que permitiese "echar abajo" un servidor entero desde un solo ordenador. Lo curioso es que Michal Zalewski descubrió algo muy parecido en enero de 2007. Usando un mismo vector de ataque, se conseguía un efecto diferente: Zalewski agotaba el ancho de banda, mientras que Kingcope consigue agotar los recursos físicos del servidor. Al no publicarse exploit entonces, sino simplemente explicar un comportamiento "extraño", no recibió demasiada atención.

No es la primera vez que Kingcope publica sin previo aviso. En septiembre de 2009 hizo público un fallo en IIS 5. En noviembre, una elevación de privilegios en FreeBSD y en julio, un grave problema en OpenSSH de FreeBSD. Siempre lleva hasta sus últimas consecuencias el "full disclosure" y suele enviar sin más a las listas de seguridad todos los detalles del problema. Con Apache no ha hecho una excepción.

La vulnerabilidad se encuentra en el módulo mod_deflate. Consiste en el agotamiento de recursos al crear múltiples peticiones con la cabecera Range manipulada. Según el exploit publicado se envía esta cabecera con la siguiente secuencia 0-,5-0,5-1,5-2...5-1299. Esto provoca que el servidor genere múltiples respuestas que son fragmentos de un mismo recurso, en definitiva, se trata de peticiones manipuladas de rangos de bytes de un mismo archivo o recurso a descargar. Además la petición se realiza con la cabecera "Accept-Enconding: gzip" que hace que el servidor vulnerable intente comprimir cada fragmento solicitado, consumiendo memoria y tiempo de procesador hasta que el proceso deja de responder.

"mod_deflate" es un módulo empleado por Apache para comprimir contenido antes de ser devuelto al cliente. Este módulo es instalado y habilitado por defecto en la instalación base de Apache.

No existe parche oficial por parte de Apache aunque sí que se han hecho públicos diferentes métodos para mitigar el ataque y la promesa de un parche en 48 horas (lo que acumularía una semana tras el aviso). Se recomienda seguir las contramedidas que describe Apache, disponibles en la dirección:

http://mail-archives.apache.org/

Más Información:

Apache httpd Remote Denial of Service (memory exhaustion)
http://www.exploit-db.com/exploits/17696/

Revival of an Unpatched Apache HTTPD DoS
http://isc.sans.edu/diary.html?storyid=11449

Borja Luaces
http://www.hispasec.com


Guardar publicación en PDF

Otras noticias de interes:

 Diversas vulnerabilidades en implementaciones DNS
Un atacante podría explotar varias vulnerabilidades detectadas en la implementación del protocolo DNS (Domain Name System), las que pueden causar una denegación de servicio en diversos y conocidos productos, según un alerta del NISCC (National Infrastructure Security Co-ordination Centre), dependiente del centro de alertas contra ataques cibernéticos del Reino Unido (UNIRAS).
 Adobe publica parches de seguridad
Múltiples vulnerabilidades fueron identificadas y reportadas por diferentes fuentes a Adobe. Los programas afectados son Adobe Flash Player y Photoshop, todas ellas catalogadas como críticas.
 Apple quiere que el jailbreaking sea ilegal
En otra de sus iniciativas para tratar de controlar aún más su mercado Apple está tratando de hacer que el proceso de jailbreak de los iPhones e iPod Touch sea ilegal, algo que haría que instalar aplicaciones de terceros fuera un delito.
 Creador de Java advierte sobre "gran agujero de seguridad" en Microsoft .NET
¿Aviso serio o pura rivalidad comercial? James Gosling, padre de Java y director técnico del grupo de Productos para Desarrolladores de Sun, ha calificado la decisión de Microsoft de mantener C y C++ en el CLR (Common Language Runtime) de .Net, como "el mayor y más ofensivo error que pudiera haberse cometido", durante una charla para desarrolladores en Sidney, la pasada semana.
 En Dubai se dijo que sería Internet
Primero hablemos sobre la UIT, la cual es una institución especializada de la ONU (Organización Naciones Unidas), en la que entran los ciento noventa y tres miembros de la comunidad mundial. La UIT convocó la Conferencia Mundial de Telecomunicaciones Internacionales (CMTI) en Dubai (Emiratos Árabes Unidos), que se realizó desde el día 3 al día 14 de diciembre de 2012. En esta conferencia trascendental los miembros revisaron el actual Reglamento de las Telecomunicaciones Internaciones (RTI), que sirve como tratado mundial vinculante destinado a facilitar la interconexión e interoperabilidad de los servicios de información y comunicación, así como a garantizar su eficiencia y su utilidad y disponibilidad generalizada para el público.

Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • denegación

  • servicio

  • apache

  • través

  • range

  • header

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql