L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilité de Apache httpd : déni de service Slowloris

Synthèse de la vulnérabilité

Un attaquant peut épuiser le nombre maximal de clients autorisés à se connecter sur le serveur Apache httpd, dans sa configuration par défaut.
Gravité de cette annonce : 1/4.
Date création : 19/06/2009.
Références de cette vulnérabilité informatique : 47386, c03734195, CERTFR-2014-AVI-112, CERTFR-2017-AVI-012, CVE-2007-6750, HPSBUX02866, JSA10770, K12636, openSUSE-SU-2012:0314-1, SOL12636, SSRT101139, SUSE-SU-2012:0284-1, SUSE-SU-2012:0323-1, VIGILANCE-VUL-8809.

Description de la vulnérabilité

Lorsqu'un client se connecte sur le service httpd, il doit envoyer une requête HTTP de la forme :
  GET / HTTP/1.0
  Host: serveur
  Entêtes: etc.
Tant que Apache httpd n'a pas reçu la requête complète, il attend au maximum TimeOut secondes avant de clore la session.

Lorsque MaxClients clients sont connectés simultanément sur le service, les clients suivants ne peuvent plus accéder au service.

Un attaquant peut donc ouvrir de nombreuses sessions parallèles, dans lesquelles il envoie la requête par fragment de quelques octets, afin de faire perdurer ces sessions et d'atteindre MaxClients. Les utilisateurs légitimes ne peuvent alors plus utiliser le service.

Un attaquant peut donc épuiser le nombre maximal de clients autorisés à se connecter sur le serveur Apache httpd, dans sa configuration par défaut.

Le serveur web IIS emploie une logique différente et n'est pas perturbé par ce déni de service. Par exemple, lorsqu'une nouvelle session arrive, la plus ancienne session inactive ou non complète est close.
Bulletin Vigil@nce complet... (Essai gratuit)

Ce bulletin cybersécurité concerne les logiciels ou systèmes comme Apache httpd, BIG-IP Hardware, TMOS, HP-UX, Junos Space, openSUSE, Solaris, SUSE Linux Enterprise Desktop, SLES.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin sécurité est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter cette menace informatique.

Solutions pour cette menace

Apache httpd : contre-mesure pour Slowloris.
Le document Security Tips indique les recommendations.
Le MPM event expérimental n'est pas vulnérable.
Le module mod_antiloris (non officiel, mais l'équipe Vigil@nce a analysé le code source de la version 0.4) permet de limiter le nombre de connexions :
  ftp://ftp.monshouwer.eu/pub/linux/mod_antiloris/
  ftp://ftp.monshouwer.eu/pub/linux/mod_antiloris/installoris
Le module mod_reqtimeout peut être utilisé :
  http://httpd.apache.org/docs/trunk/mod/mod_reqtimeout.html

F5 BIG-IP : solution pour Slowloris.
La solution est indiquée dans les sources d'information.

HP-UX : versions corrigées pour Apache et Tomcat.
Les versions suivantes sont corrigées :
  HP-UX B.11.23 :
    Apache : B.2.2.15.15
  HP-UX B.11.31 :
    Apache : B.2.2.15.15
    Tomcat : C.6.0.36.01, D.7.0.35.01
Les mises à jour sont disponibles à :
  https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=HPUXWSATW326

Junos Space : version 16.1R1.
La version 16.1R1 est corrigée :
  https://www.juniper.net/

Solaris 10 : patch pour Apache.
Un patch est disponible :
  SPARC: 120543-33
  X86: 120544-33

Solaris 9 : patch pour Apache.
Un patch est disponible :
  SPARC: 113146-17
  X86: 114145-16

SUSE : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
  openSUSE 11.4 : apache2-2.2.17-4.13.1
  SUSE LE 10 : apache2-2.2.3-16.44.1
  SUSE LE 11 : apache2-2.2.12-1.30.1
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des bulletins de vulnérabilité de réseau. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.