Bonjour, On en a déjà parlé, on m'en reparle aujourd'hui... les vulnérabilités d'Apache.... Petit rappel et complément :
"(...) Ce script développé en Perl permet d'envoyer des requêtes HTTP malformées (requêtes incomplètes). Le serveur web ciblé reçoit ces paquets, ouvre une connexion et attend la fin de la requête. Cependant, le script n'enverra jamais la fin de la requête et continuera à envoyer des requêtes incomplètes pour maintenir l'état de la connexion. En ouvrant plusieurs connexions de ce type, le pirate provoquera une consommation de toutes les sockets disponibles... Un script a été développé et pourrait être utilisé sur Internet à des fins malveillantes... Note : IIS n'est pas vulnérables à cette attaque. Note : La vulnérabilité est exploitable sur les serveurs Solution : aucune pour le moment. Il est possible d'augmenter le paramètre "MaxClients" au sein de la configuration d'Apache mais cette action ne résoudra pas totalement le problème. En effet, en envoyant un plus grand nombre de requêtes, le pirate pourra toujours provoquer l'arrêt du serveur web... L'attaque apparaît très clairement dans les journaux, avec une rafale d'erreur de type 'internal dummy connections', ou bien des messages relatifs à l'incapacité de lire les en-têtes HTTP." Or donc comme prévu depuis pas mal de temps, une faille de ce type est / va être exploitée. Elle va ouvrir la porte à la découverte de faille du même type probablement pour d'autres serveurs, voire d'autres services... Toutefois à court terme, mis à part migrer sous IIS (gasp), certains d'entre vous avez peut être quelques préconisations ? d'après vous, l'utilisation d'Apache en mode reverse proxy est il concerné ? Et donc si la sécurisation en service web ou reverse proxy nécessite la migration vers un autre serveur, quel gain ? (je pensais à nginx, pound) En vous remerciant. J'espère que le sujet est intéressant et qu'il convient à la liste de diffusion... ^__^ Cordialement, Cyriac REMY --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
