RNP > Serviços > Segurança em redes > Alertas do CAIS

CAIS-Alerta: Vulnerabilidade no Apache causa negação de serviço

Alerta do CAIS 20110829

[RNP, 29.08.2011-, revisão 01]

O CAIS está divulgando um alerta sobre uma vulnerabilidade no servidor web Apache, que ao ser explorada causa negação de serviço (DoS).

Devido à uma vulnerabilidade reportada em 2007 e, até o momento da divulgação deste alerta, ainda não corrigida em todas versões do Apache, um atacante pode explorá-la causando um uso excessivo de recursos no servidor, implicando assim em uma negação de serviço.

Esta vulnerabilidade pode ser explorada remotamente através de requisições HTTP mal-formadas ou com a utilização do exploit específico desenvolvido para a vulnerabilidade.

CORREÇÕES DISPONÍVEIS

Até o momento da divulgação deste alerta, não foram disponibilizadas correções para esta vulnerabilidade. O CAIS recomenda a aplicação das contramedidas abaixo para contenção dos ataques:

1. Atualizar o Apache para última versão disponível (2.2.20, 2.0.64 ou 1.3.42) - A contra-medida abaixo foi testada na versão 2.2.19.

2. Desabilitar a compresssão "on-the-fly":

2.1 Desabilitar o módulo mod_deflate:

a) Editar o arquivo de configuração do apache e comentar a linha abaixo:

3. Utilizar o módulo mod_headers para desabilitar o uso de "Range headers":

a) Verificar se o módulo mod_headers está sendo carregado:

LoadModule headers_module lib/httpd/modules/mod_headers.so

b) Adicionar a seguinte linha às sessões, e:

RequestHeader unset Range

c) Limitar o tamanho do "request field" para algumas centenas de bytes. Note que esta alteração pode impactar no funcionamento de cookies e campos seguros, assim, recomenda-se testar a implementação desta solução em um ambiente de testes, antes de colocá-la em produção. A linha abaixo deve ser configurada por na sessão global ou por .

LimitRequestFieldSize 200

4. Reiniciar o serviço httpd

SISTEMAS AFETADOS

São afetadas por esta vulnerabilidade as todas as versões iguais ou inferiores à:

. 2.2.19

. 2.0.64

. 1.3.x

Mais informações

• Revival of an Unpatched Apache HTTPD DoS
• Apache Module mod_deflate
• Apache LimitRequestFieldSize Directive
• Apache mailing list: Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)
  
  

  Identificador CVE, ainda em revisão (http://cve.mitre.org):
  

  CVE-2011-3192

  O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

  Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
  http://www.rnp.br/cais/alertas/rss.xml
  Siga @caisrnp.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais