[SECURITY-L] CAIS-Alerta:Vulnerabilidade no Apache causa negao de servio
CSIRT - UNICAMP
security em unicamp.br
Seg Ago 29 16:51:56 -03 2011
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta:Vulnerabilidade no Apache causa negação de serviço
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Mon, 29 Aug 2011 16:26:52 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS está divulgando um alerta sobre uma vulnerabilidade no servidor web
Apache, que ao ser explorada causa negação de serviço (DoS).
Devido à uma vulnerabilidade reportada em 2007 e, até o momento da
divulgação deste alerta, ainda não corrigida em todas versões do Apache,
um atacante pode explorá-la causando um uso excessivo de recursos no
servidor, implicando assim em uma negação de serviço.
Esta vulnerabilidade pode ser explorada remotamente através de requisições
HTTP mal-formadas ou com a utilização do exploit específico desenvolvido
para a vulnerabilidade.
CORREÇÕES DISPONÍVEIS
Até o momento da divulgação deste alerta, não foram disponibilizadas
correções para esta vulnerabilidade. O CAIS recomenda a aplicação das
contramedidas abaixo para contenção dos ataques:
1. Atualizar o Apache para última versão disponível (2.2.19, 2.0.64 ou 1.3.42)
- A contra-medida abaixo foi testada na versão 2.2.19.
2. Desabilitar a compresssão "on-the-fly":
2.1 Desabilitar o módulo mod_deflate:
a) Editar o arquivo de configuração do apache e comentar a linha abaixo:
LoadModule deflate_module lib/httpd/modules/mod_deflate.so
3. Utilizar o módulo mod_headers para desabilitar o uso de "Range headers":
a) Verificar se o módulo mod_headers está sendo carregado:
LoadModule headers_module lib/httpd/modules/mod_headers.so
b) Adicionar a seguinte linha às sessões <Directory>, <Location> e <Files>:
RequestHeader unset Range
c) Limitar o tamanho do "request field" para algumas centenas
de bytes. Note que esta alteração pode impactar no
funcionamento de cookies e campos seguros, assim,
recomenda-se testar a implementação desta solução em um
ambiente de testes, antes de colocá-la em produção.
A linha abaixo deve ser configurada por na sessão global ou
por <VirtualHost>.
LimitRequestFieldSize 200
4. Reiniciar o serviço httpd
SISTEMAS AFETADOS
São afetadas por esta vulnerabilidade as todas as versões iguais ou
inferiores à:
. 2.2.19
. 2.0.64
. 1.3.x
MAIS INFORMAÇÕES
. Revival of an Unpatched Apache HTTPD DoS
http://isc.sans.edu/diary.html?storyid=11449
. Apache Module mod_deflate
http://httpd.apache.org/docs/2.2/mod/mod_deflate.html
. Apache LimitRequestFieldSize Directive
http://httpd.apache.org/docs/2.2/mod/core.html#limitrequestfieldsize
. Apache mailing list: Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x \(CVE-2011-3192\)
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110824161640.122D387DD@minotaur.apache.org%3E
Identificador CVE, ainda em revisão (http://cve.mitre.org):
CVE-2011-3192
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.
Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @caisrnp.
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBTlvoDukli63F4U8VAQFvQgQAqtdzwvrYxM6drvYfxtf+ohDiOXFg4UAt
ut5OORTAQnI9WieKNoAG9sBrmiA+6ZBtBwtDh9QvO29DErYGYUZ4egt5JOLojgL0
YqOJO88xDYgtbH1FIDxIFnao4VbmMc/y7LOF01wnGU2Hn1JUZTxbSzjQNzG40MOX
CEm0zQXiTWE=
=nQPd
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L