| CAIS-Alerta: Vulnerabilidade no Apache causa negação de serviçoAlerta do CAIS 20110829 [RNP, 29.08.2011-, revisão 01] O CAIS está divulgando um alerta sobre uma vulnerabilidade no servidor web Apache, que ao ser explorada causa negação de serviço (DoS). Devido à uma vulnerabilidade reportada em 2007 e, até o momento da divulgação deste alerta, ainda não corrigida em todas versões do Apache, um atacante pode explorá-la causando um uso excessivo de recursos no servidor, implicando assim em uma negação de serviço. Esta vulnerabilidade pode ser explorada remotamente através de requisições HTTP mal-formadas ou com a utilização do exploit específico desenvolvido para a vulnerabilidade. CORREÇÕES DISPONÍVEIS Até o momento da divulgação deste alerta, não foram disponibilizadas correções para esta vulnerabilidade. O CAIS recomenda a aplicação das contramedidas abaixo para contenção dos ataques: 1. Atualizar o Apache para última versão disponível (2.2.20, 2.0.64 ou 1.3.42) - A contra-medida abaixo foi testada na versão 2.2.19. 2. Desabilitar a compresssão "on-the-fly": 2.1 Desabilitar o módulo mod_deflate: a) Editar o arquivo de configuração do apache e comentar a linha abaixo: 3. Utilizar o módulo mod_headers para desabilitar o uso de "Range headers": a) Verificar se o módulo mod_headers está sendo carregado: LoadModule headers_module lib/httpd/modules/mod_headers.so b) Adicionar a seguinte linha às sessões, e: RequestHeader unset Range c) Limitar o tamanho do "request field" para algumas centenas de bytes. Note que esta alteração pode impactar no funcionamento de cookies e campos seguros, assim, recomenda-se testar a implementação desta solução em um ambiente de testes, antes de colocá-la em produção. A linha abaixo deve ser configurada por na sessão global ou por . LimitRequestFieldSize 200 4. Reiniciar o serviço httpd SISTEMAS AFETADOS São afetadas por esta vulnerabilidade as todas as versões iguais ou inferiores à: . 2.2.19 . 2.0.64 . 1.3.x Mais informações
| Contato com o Cais: +55 (19) 3787-3300 |