![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Publicerad
BM11-002 - Blixtmeddelande från CERT-SE - DoS-sårbarhet i Apache HTTP-server
En tillgänglighetsattack är möjlig mot Apaches webbserver. Uppdateringar är på gång.
Problembeskrivning
En extern angripare kan få Apaches HTTP-server att krascha genom att skicka riggade
HTTP-anrop. Ett skadligt anrop består av en stor "Range"-header för en fil med hög
entropi kombinerat med gzip-kompression (mod_deflate eller mod_gzip). Webbservern
kommer då allokera stora mängder minne, vilket kan leda till att webbservern och även
servern kraschar.
För närvarande finns ingen rättning som åtgärdar säkerhetsbristen. Apache arbetar med
en uppdatering som förväntas släppas inom de närmsta dagarna.
Det finns indikationer att sårbarheten utnyttjas aktivt. Exempelkod som visar hur
sårbarheten kan utnyttjas finns publicerat på internet.
Lösning
Följande kan göras för att skydda en sårbar webbserver:
* Använd ModSecurity för att blocka skadliga HTTP-anrop med "range"-header. Mer information:
http://blog.spiderlabs.com/2011/08/mitigation-of-apache-range-header-dos-attack.html
* Använd mod_headers för att blocka skadliga HTTP-anrop med "range"-header.
* Använd mod_rewrite för att begränsa antalet "ranges".
* Begränsa storleken för "header"-fältet med hjälp av "LimitRequestFieldSize".
* Installera temporära patchar.
Ovanstående förslag samt några till finns beskrivna på "apache-httpd-dev"-listan:
http://marc.info/?l=apache-httpd-dev&m=131418828705324&w=2
Michal Zalewski upptäckte säkerhetsbristen redan 2007, men det är först nu då Kingcope släppt
exempelkod som sårbarheten har aktualiserats på nytt.
Påverkade versioner
Apache HTTP Server 2.2.17. Troligen är alla versioner drabbade men sårbarheten är
endast verifierad i denna version.
CVE
CVE-2011-3192
Mer information
https://issues.apache.org/bugzilla/show_bug.cgi?id=51714
http://www.securityfocus.com/bid/49303
http://secunia.com/advisories/45606/
http://securitytracker.com/id/1025960
http://seclists.org/bugtraq/2007/Jan/83
https://threatpost.com/en_us/blogs/apache-dos-bug-resurfaces-spurring-new-attacks-082411
CERT-SE kommer uppdatera följande sida då något nytt händer:
https://www.cert.se/sarbarheter/sr/sr11-177-apache-dos-saarbarhet-i-http-server