L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache httpd : déni de service via Range ou Request-Range

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs requêtes parallèles utilisant Range ou Request-Range, afin de progressivement utiliser la mémoire du serveur.
Produits vulnérables : Apache httpd, CheckPoint Endpoint Security, IPSO, CheckPoint Security Gateway, CiscoWorks, Nexus par Cisco, NX-OS, Debian, BIG-IP Hardware, TMOS, Fedora, OpenView, OpenView NNM, HP-UX, Junos Space, Junos Space Network Management Platform, Mandriva Linux, ePO, OpenSolaris, openSUSE, Oracle AS, Oracle Fusion Middleware, Solaris, RHEL, Slackware, SLES.
Gravité de cette faille : 2/4.
Date de création : 24/08/2011.
Dates de révisions : 24/08/2011, 26/08/2011, 14/09/2011.
Références de ce bulletin : BID-49303, c02997184, c03011498, c03025215, CERTA-2011-AVI-493, cisco-sa-20110830-apache, CVE-2011-3192, DSA-2298-1, DSA-2298-2, FEDORA-2011-12715, HPSBMU02704, HPSBUX02702, HPSBUX02707, KB73310, MDVSA-2011:130, MDVSA-2011:130-1, openSUSE-SU-2011, openSUSE-SU-2011:0993-1, PSN-2013-02-846, RHSA-2011:1245-01, RHSA-2011:1294-01, RHSA-2011:1300-01, RHSA-2011:1329-01, RHSA-2011:1330-01, RHSA-2011:1369-01, sk65222, SSA:2011-252-01, SSRT100606, SSRT100619, SSRT100626, SUSE-SU-2011:1000-1, SUSE-SU-2011:1007-1, SUSE-SU-2011:1010-1, SUSE-SU-2011:1215-1, SUSE-SU-2011:1216-1, VIGILANCE-VUL-10944, VU#405811.

Description de la vulnérabilité 

L'entête Range du protocole HTTP indique un intervalle d'octets que le serveur doit retourner. Par exemple, pour obtenir les 20 octets du document web situés entre le dixième et le trentième octet, puis les octets 50 à 60 :
  Range: bytes=10-30,50-60
L'entête Request-Range est le nom obsolète de Range.

Apache manipule les objets suivants :
 - bucket : zone de stockage abstraite de données (mémoire, fichier, etc.)
 - brigade : liste chaînée de buckets

Lorsque Apache httpd reçoit une requête contenant l'entête Range, il stocke chaque intervalle dans une "brigade". Cependant, si la liste d'intervalles est très grande, cette brigade consomme de nombreuses ressources mémoire.

Un attaquant peut donc employer plusieurs requêtes parallèles utilisant Range ou Request-Range, afin de progressivement utiliser la mémoire du serveur.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de vulnérabilité concerne les logiciels ou systèmes comme Apache httpd, CheckPoint Endpoint Security, IPSO, CheckPoint Security Gateway, CiscoWorks, Nexus par Cisco, NX-OS, Debian, BIG-IP Hardware, TMOS, Fedora, OpenView, OpenView NNM, HP-UX, Junos Space, Junos Space Network Management Platform, Mandriva Linux, ePO, OpenSolaris, openSUSE, Oracle AS, Oracle Fusion Middleware, Solaris, RHEL, Slackware, SLES.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter ce bulletin cyber-sécurité.

Solutions pour cette menace 

Apache httpd : version 2.2.21.
La version 2.2.21 est corrigée :
  http://httpd.apache.org/download.cgi

Apache httpd : version 2.2.20.
La version 2.2.20 est corrigée :
  http://httpd.apache.org/download.cgi

Apache HTTP Server : version 2.0.65.
La version 2.0.65 est corrigée :
  http://httpd.apache.org/download.cgi#apache20

Apache httpd : contre-mesure pour Range et Request-Range.
La directive SetEnvIf peut être utilisée avec mod_headers :
  SetEnvIf Range (,.*?){5,} bad-range=1
  RequestHeader unset Range env=bad-range
  CustomLog logs/range-CVE-2011-3192a.log common env=bad-range
  SetEnvIf Request-Range (,.*?){5,} bad-req-range=1
  RequestHeader unset Request-Range env=bad-req-range
  CustomLog logs/range-CVE-2011-3192b.log common env=bad-req-range
Une autre contre-mesure consiste à utiliser mod_rewrite pour interdire les requêtes contenant plus de 5 intervalles :
  RewriteEngine on
  RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
  RewriteRule .* - [F]
  RewriteCond %{HTTP:request-range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
  RewriteRule .* - [F]
Une autre contre-mesure consiste à désactiver complètement l'entête Range et Request-Range avec mod_headers :
  RequestHeader unset Range
  RequestHeader unset Request-Range

Apache httpd : patch pour Range.
Un patch est disponible dans les sources d'information.
Ce patch limite le nombre d'intervalles à 10.

Check Point Security Gateway, Endpoint Security Server : patch pour Apache httpd.
L'annonce Check Point indique les correctifs, et la procédure d'installation.

Cisco : contre-mesure pour Apache.
Une contre-mesure est indiquée dans la source d'information.

Debian : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
  apache2 2.2.9-10+lenny11
  apache2 2.2.16-6+squeeze3

F5 BIG-IP TMOS : version 10.2.3.
La version 10.2.3 est corrigée :
  http://support.f5.com/

F5 BIG-IP TMOS : version 11.1.0.
La version 11.1.0 est corrigée :
  http://support.f5.com/

Fedora 15 : nouveaux paquetages httpd.
De nouveaux paquetages sont disponibles :
  httpd-2.2.21-1.fc15

HP OpenView NNM : Apache version 2.2.21.
La version Apache 2.2.21 est corrigée :
  ftp.usa.hp.com
  user : sb02704
  password : Secure12

HP-UX : Apache version 2.2.15.08.01.
La version suivante est corrigée :
HP-UX Web Server Suite (WSS) v3.19 contenant Apache v2.2.15.09
  https://h20392.www2.hp.com/portal/swdepot/try.do?productNumber=HPUXWSATW319
  B.11.23 & B.11.31 (32-bit) : HPUXWS22ATW-B319-32.depot
  B.11.23 & B.11.31 (64-bit) : HPUXWS22ATW-B319-64.depot

HP-UX : Apache Web Server versions corrigées.
Les versions suivantes sont corrigées :
HP-UX Web Server Suite (WSS) v3.19 contenant Apache v2.2.15.09
  https://h20392.www2.hp.com/portal/swdepot/try.do?productNumber=HPUXWSATW319
  B.11.23 & B.11.31 (32-bit) : HPUXWS22ATW-B319-32.depot
  B.11.23 & B.11.31 (64-bit) : HPUXWS22ATW-B319-64.depot
HP-UX Web Server Suite (WSS) v2.34 contenant Apache v2.0.64.02
  https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=HPUXWSATW234
  B.11.11 : HPUXWSATW-B234-1111.depot

Junos Space : patch pour Apache.
Le patch 12.1P2.1 est disponible :
  http://www.juniper.net/support/downloads/?p=space#sw

Mandriva : nouveaux paquetages apache.
De nouveaux paquetages sont disponibles :
  apache-2.2.9-12.12mdv2009.0
  apache-2.2.15-3.3mdv2010.2
  apache-2.2.21-0.1-mdv2011.0
  apache-2.2.3-1.13.20060mlcs4
  apache-2.2.9-12.12mdvmes5.2

McAfee ePolicy Orchestrator : Hotfix 701318.
Le Hotfix 701318 est disponible :
  https://mysupport.mcafee.com/

openSUSE : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
  openSUSE 11.3 : apache2-2.2.15-4.7.1
  openSUSE 11.4 : apache2-2.2.17-4.9.1

Oracle AS, Fusion : patch pour Apache httpd.
Un patch est disponible :
  http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1357871.1

Red Hat Application Stack : nouveaux paquetages httpd.
De nouveaux paquetages sont disponibles :
  httpd-2.2.13-3.el5s2

RHEL : nouveaux paquetages httpd.
De nouveaux paquetages sont disponibles :
  httpd-2.0.52-48.ent
  httpd-2.2.3-53.el5_7.1
  httpd-2.2.15-9.el6_1.2

RHEL : nouveaux paquetages JBoss Enterprise Web Server.
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.

Slackware : nouveaux paquetages httpd.
De nouveaux paquetages sont disponibles :
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/httpd-2.2.20-i486-1_slack12.0.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/httpd-2.2.20-i486-1_slack12.1.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-12.2/patches/packages/httpd-2.2.20-i486-1_slack12.2.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-13.0/patches/packages/httpd-2.2.20-i486-1_slack13.0.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-13.0/patches/packages/httpd-2.2.20-x86_64-1_slack13.0.txz
ftp://ftp.slackware.com/pub/slackware/slackware-13.1/patches/packages/httpd-2.2.20-i486-1_slack13.1.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-13.1/patches/packages/httpd-2.2.20-x86_64-1_slack13.1.txz
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/patches/packages/httpd-2.2.20-i486-1_slack13.37.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-13.37/patches/packages/httpd-2.2.20-x86_64-1_slack13.37.txz

Solaris : patch pour Apache HTTP Server.
Un patch est disponible :
Solaris 10 :
  SPARC: 120543-24
  X86: 120544-24
Solaris 11 Express :
  snv_151a + 7083183

SUSE LE 10 : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 SP2 : apache2-2.2.3-16.25.40
  SUSE LE 10 SP3 : apache2-2.2.3-16.32.35.1
  SUSE LE 10 SP4 : apache2-2.2.3-16.36.1

SUSE LE 11 : nouveaux paquetages apache2.
De nouveaux paquetages sont disponibles :
   apache2-2.2.12-1.18.1
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un correctif de vulnérabilités logicielles. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.