Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
 accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

avis de vulnérabilité 8809

Apache httpd : déni de service

Synthèse de la vulnérabilité

Un attaquant peut épuiser le nombre maximal de clients autorisés à se connecter sur le serveur Apache httpd, dans sa configuration par défaut.
Gravité : 1/4.
Date création : 19/06/2009.

Description de la vulnérabilité

Lorsqu'un client se connecte sur le service httpd, il doit envoyer une requête HTTP de la forme :
  GET / HTTP/1.0
  Host: serveur
  Entêtes: etc.
Tant que Apache httpd n'a pas reçu la requête complète, il attend au maximum TimeOut secondes avant de clore la session.

Lorsque MaxClients clients sont connectés simultanément sur le service, les clients suivants ne peuvent plus accéder au service.

Un attaquant peut donc ouvrir de nombreuses sessions parallèles, dans lesquelles il envoie la requête par fragment de quelques octets, afin de faire perdurer ces sessions et d'atteindre MaxClients. Les utilisateurs légitimes ne peuvent alors plus utiliser le service.

Un attaquant peut donc épuiser le nombre maximal de clients autorisés à se connecter sur le serveur Apache httpd, dans sa configuration par défaut.

Le serveur web IIS emploie une logique différente et n'est pas perturbé par ce déni de service. Par exemple, lorsqu'une nouvelle session arrive, la plus ancienne session inactive ou non complète est close.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : Apache httpd : déni de service.
Mots clés : Apache Entêtes GET HTTP Host IIS MaxClients TimeOut déni httpd service.
Références : 47386, VIGILANCE-VUL-8809.

Sources d'information

Publications et annonces
Exemple de source : Slowloris HTTP DoS

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Compléments

Attaque

Outil d'attaque ou exploit 0day

Attaque

Outil d'attaque ou exploit 0day

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Base de vulnérabilités informatiques



















France Télécom Copyright 1999-2010 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version