Hello, On en a déja parlé sur cette même liste, mais bon un petit lien avec une solution, ca peut pas faire de mal : http://haproxy.1wt.eu/#news . Lire la première news.
Hervé. Cyriac REMY wrote: > Bonjour, > > On en a déjà parlé, on m'en reparle aujourd'hui... les vulnérabilités > d'Apache.... Petit rappel et complément : > > "(...) > Ce script développé en Perl permet d'envoyer des requêtes HTTP malformées > (requêtes incomplètes). Le serveur web ciblé reçoit ces paquets, ouvre une > connexion et attend la fin de la requête. Cependant, le script n'enverra > jamais la fin de la requête et continuera à envoyer des requêtes > incomplètes pour maintenir l'état de la connexion. > > En ouvrant plusieurs connexions de ce type, le pirate provoquera une > consommation de toutes les sockets disponibles... > > Un script a été développé et pourrait être utilisé sur Internet à des fins > malveillantes... > > Note : IIS n'est pas vulnérables à cette attaque. > Note : La vulnérabilité est exploitable sur les serveurs > > Solution : > aucune pour le moment. > Il est possible d'augmenter le paramètre "MaxClients" au sein de la > configuration d'Apache mais cette action ne résoudra pas totalement le > problème. En effet, en envoyant un plus grand nombre de requêtes, le > pirate > pourra toujours provoquer l'arrêt du serveur web... > > L'attaque apparaît très clairement dans les journaux, avec une rafale > d'erreur de type 'internal dummy connections', ou bien des messages > relatifs à l'incapacité de lire les en-têtes HTTP." > > Or donc comme prévu depuis pas mal de temps, une faille de ce type est / > va être exploitée. Elle va ouvrir la porte à la découverte de faille du > même type probablement pour d'autres serveurs, voire d'autres services... > > Toutefois à court terme, mis à part migrer sous IIS (gasp), certains > d'entre vous avez peut être quelques préconisations ? d'après vous, > l'utilisation d'Apache en mode reverse proxy est il concerné ? > > Et donc si la sécurisation en service web ou reverse proxy nécessite la > migration vers un autre serveur, quel gain ? (je pensais à nginx, pound) > > En vous remerciant. > > J'espère que le sujet est intéressant et qu'il convient à la liste de > diffusion... ^__^ > > Cordialement, > > Cyriac REMY > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 mailto:hcommow...@exosec.fr --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
