Que s’est-il passé ?

Une vulnérabilité qui conduit à un déni de service a été découverte récemment. Ce déni de service est très efficace, car il suffit de peu de ressources côté attaquant pour interrompre le service d’un serveur à forte capacité de traitement.

Des outils permettant d’exploiter l’attaque sont d’ores et déjà disponibles.

Un patch Apache sera réalisé dans les jours à venir pour les versions 2.0 et 2.2. En revanche, à ce jour rien n’est prévu pour les versions 1.3.

Description de l’attaque

L’attaque s’appuie sur une erreur dans le mécanisme de gestion du header « Range ». Cette attaque peut être perpétrée lorsque le contenu de la réponse est « bufferisé », notamment lors de l’utilisation de mod_deflate, c’est-à-dire de la compression des réponses.

Recommandation

Cette attaque est bloquée par défaut par rWeb (3.x et 4.0) ainsi que par sProxy (2.6 et 4.0).

L’équipe du DARC recommande uniquement aux clients utilisant rWeb et sProxy de vérifier que la règle qui limite la longueur maximale des headers n’a pas été désactivée par erreur.

En effet les restrictions imposées par ce filtre interdisent les attaques faisant usage d’un nombre de « Range » trop important. Dans ce contexte l’attaque n’est plus efficace et la consommation de mémoire additionnelle reste limitée (de l’ordre de 1% à 2% maximum).

Auteur : Deny All