[SECURITY-L] CAIS-Alerta:Vulnerabilidade no Apache causa negao de servio

CSIRT - UNICAMP security em unicamp.br
Seg Ago 29 16:51:56 -03 2011 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta:Vulnerabilidade no Apache causa negação de serviço
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Mon, 29 Aug 2011 16:26:52 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----

Prezados,

O CAIS está divulgando um alerta sobre uma vulnerabilidade no servidor web 
Apache, que ao ser explorada causa negação de serviço (DoS).

Devido à uma vulnerabilidade reportada em 2007 e, até o momento da 
divulgação deste alerta, ainda não corrigida em todas versões do Apache, 
um atacante pode explorá-la causando um uso excessivo de recursos no 
servidor, implicando assim em uma negação de serviço.

Esta vulnerabilidade pode ser explorada remotamente através de requisições 
HTTP mal-formadas ou com a utilização do exploit específico desenvolvido 
para a vulnerabilidade.


CORREÇÕES DISPONÍVEIS

Até o momento da divulgação deste alerta, não foram disponibilizadas 
correções para esta vulnerabilidade. O CAIS recomenda a aplicação das 
contramedidas abaixo para contenção dos ataques:

1. Atualizar o Apache para última versão disponível (2.2.19, 2.0.64 ou 1.3.42)
        - A contra-medida abaixo foi testada na versão 2.2.19.

2. Desabilitar a compresssão "on-the-fly":

2.1 Desabilitar o módulo mod_deflate:

        a) Editar o arquivo de configuração do apache e comentar a linha abaixo:

           LoadModule deflate_module lib/httpd/modules/mod_deflate.so

3. Utilizar o módulo mod_headers para desabilitar o uso de "Range headers":

        a) Verificar se o módulo mod_headers está sendo carregado:

           LoadModule headers_module lib/httpd/modules/mod_headers.so

        b) Adicionar a seguinte linha às sessões <Directory>, <Location> e <Files>:

           RequestHeader unset Range

        c) Limitar o tamanho do "request field" para algumas centenas
           de bytes. Note que esta alteração pode impactar no
           funcionamento de cookies e campos seguros, assim,
           recomenda-se testar a implementação desta solução em um
           ambiente de testes, antes de colocá-la em produção.
           A linha abaixo deve ser configurada por na sessão global ou
           por <VirtualHost>.

           LimitRequestFieldSize 200

4. Reiniciar o serviço httpd


SISTEMAS AFETADOS

São afetadas por esta vulnerabilidade as todas as versões iguais ou
inferiores à:
  . 2.2.19
  . 2.0.64
  . 1.3.x


MAIS INFORMAÇÕES

. Revival of an Unpatched Apache HTTPD DoS
  http://isc.sans.edu/diary.html?storyid=11449

. Apache Module mod_deflate
  http://httpd.apache.org/docs/2.2/mod/mod_deflate.html

. Apache LimitRequestFieldSize Directive
  http://httpd.apache.org/docs/2.2/mod/core.html#limitrequestfieldsize

. Apache mailing list: Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x \(CVE-2011-3192\)
  http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110824161640.122D387DD@minotaur.apache.org%3E


Identificador CVE, ainda em revisão (http://cve.mitre.org):

CVE-2011-3192


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as últimas versões e 
correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml

Siga @caisrnp.


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBTlvoDukli63F4U8VAQFvQgQAqtdzwvrYxM6drvYfxtf+ohDiOXFg4UAt
ut5OORTAQnI9WieKNoAG9sBrmiA+6ZBtBwtDh9QvO29DErYGYUZ4egt5JOLojgL0
YqOJO88xDYgtbH1FIDxIFnao4VbmMc/y7LOF01wnGU2Hn1JUZTxbSzjQNzG40MOX
CEm0zQXiTWE=
=nQPd
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L