Denegación de servicio en Apache a través de Range header - xombra.com



Se ha publicado un sencillo exploit que permite provocar una denegación de servicio en todas las versiones de Apache. Esto significa que se puede dejar sin servicio a los servidores web Apache con la configuración por defecto. De nuevo el responsable del descubrimiento ha sido Kingcope, que ha dado todos los detalles técnicos sin avisar previamente. En realidad el fallo se conocía desde 2007.

El día 19 de agosto, viernes, Kingcope hizo público un sencillo exploit en Perl que permitía provocar una denegación de servicio en Apache desde un solo sistema. Cuando menos, el rendimiento del servidor atacado se reducían considerablemente. Hacía mucho tiempo que no se publicaba un exploit que permitiese "echar abajo" un servidor entero desde un solo ordenador. Lo curioso es que Michal Zalewski descubrió algo muy parecido en enero de 2007. Usando un mismo vector de ataque, se conseguía un efecto diferente: Zalewski agotaba el ancho de banda, mientras que Kingcope consigue agotar los recursos físicos del servidor. Al no publicarse exploit entonces, sino simplemente explicar un comportamiento "extraño", no recibió demasiada atención.

No es la primera vez que Kingcope publica sin previo aviso. En septiembre de 2009 hizo público un fallo en IIS 5. En noviembre, una elevación de privilegios en FreeBSD y en julio, un grave problema en OpenSSH de FreeBSD. Siempre lleva hasta sus últimas consecuencias el "full disclosure" y suele enviar sin más a las listas de seguridad todos los detalles del problema. Con Apache no ha hecho una excepción.

La vulnerabilidad se encuentra en el módulo mod_deflate. Consiste en el agotamiento de recursos al crear múltiples peticiones con la cabecera Range manipulada. Según el exploit publicado se envía esta cabecera con la siguiente secuencia 0-,5-0,5-1,5-2...5-1299. Esto provoca que el servidor genere múltiples respuestas que son fragmentos de un mismo recurso, en definitiva, se trata de peticiones manipuladas de rangos de bytes de un mismo archivo o recurso a descargar. Además la petición se realiza con la cabecera "Accept-Enconding: gzip" que hace que el servidor vulnerable intente comprimir cada fragmento solicitado, consumiendo memoria y tiempo de procesador hasta que el proceso deja de responder.

"mod_deflate" es un módulo empleado por Apache para comprimir contenido antes de ser devuelto al cliente. Este módulo es instalado y habilitado por defecto en la instalación base de Apache.

No existe parche oficial por parte de Apache aunque sí que se han hecho públicos diferentes métodos para mitigar el ataque y la promesa de un parche en 48 horas (lo que acumularía una semana tras el aviso). Se recomienda seguir las contramedidas que describe Apache, disponibles en la dirección:

http://mail-archives.apache.org/

Más Información:

Apache httpd Remote Denial of Service (memory exhaustion)
http://www.exploit-db.com/exploits/17696/

Revival of an Unpatched Apache HTTPD DoS
http://isc.sans.edu/diary.html?storyid=11449

Borja Luaces
http://www.hispasec.com


Guardar publicación en PDF

Otras noticias de interes:

 Vulnerabilidades basadas en Web, la nueva gran amenaza, según BitDefender
Las amenazas basadas en la Web, especialmente los troyanos, siguen siendo los principales peligros a los que se ven sometidos los usuarios hoy en día. Al menos así lo refleja el último informe de BitDefender, que sigue situando a los troyanos como el principal riesgo existente para los equipos hoy en día.
 Apple publica una actualización de seguridad
Apple ha publicado una nueva actualización de seguridad, denominada Security Update 2007-001, mediante la que se soluciona el primer problema hallado por el proyecto Month of Apple Bugs y que está relacionado con QuickTime.
 LAS IP DE LOS IRCOPS DEL IRC-HISPANO AL DESCUBIERTO
El IRC-Hispano tiene un gran problema de seguridad, en estos momentos. Tras repetidas quejas por parte de sus usuarios, que protestaban porque algunos IRCops usaban las IP de sus usuarios para otras finalidades (ataques, bloqueos en canales), un avispado usuario ha descubierto un fallo de seguridad que permite conocer las IP de los IRCops y administradores de red.
 Las Empresas no sólo deben ocuparse de los hackers: el enemigo está adentro
Qué es lo que le quita el sueño al encargado de seguridad informática de su empresa? Usted!!!. Si uno le pregunta a la gente sobre seguridad, lo primero en lo que piensa la mayoría es en un hacker de fuera de la empresa. Sin embargo, los trabajadores suponen un riesgo al menos igual de grande para los sistemas de una compañía y los valiosos datos que contienen.
 Falta conciencia en seguridad cloud
Una encuesta realizada por Symantec y Ponemon Institute revela que las empresas carecen de políticas y herramientas adecuadas para garantizar que la información confidencial que han puesto en la nube sigue estando segura.

Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • denegación

  • servicio

  • apache

  • través

  • range

  • header

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql