[Gutl-l] Denegación de servicio en Apache a través de Range header(Mitigacion)

Thu, 25 Aug 2011 05:41:41 -0700

Mientras sale el parche para esta vulnerabilidad, estas son algunas de las opciones para ir mitigando el problema: 


1) Use SetEnvIf o mod_rewrite para detectar un gran número de rangos y 
luego,

   o bien ignorar el rango: por el encabezado o rechazar la solicitud.

   Opción 1: (Apache 2.0 y 2.2)

          # Ignorar la cabecera Range, cuando venga con más de 5 rangos.
          # CVE-2011-3192
          SetEnvIf Range (,.*?){ 5,} bad-range=1
          RequestHeader unset Range env=bad-range

          # Registro de log opcional.
          CustomLog logs/range-CVE-2011-3192.log common env=bad-range

   Opción 2: (También para Apache 1.3)


          # Omitir/arrojar sin avisar(drop) la solicitud cuando hay más 
de 5 rangos en la cabecera Range.

          # CVE-2011-3192
          #
          RewriteEngine on
          RewriteCond% {HTTP: range}! (^ Bytes =[^,]+(,[^,]+){ 0,4 }$|^$)
          RewriteRule .* - [F]

   El número 5 es arbitrario, 10 no debería ser problema y puede ser

   necesario para los sitios que sirven, por ejemplo, archivos PDF y 
eReaders o

    otras tales como, complejas http streaming basado en vídeo.


2) Limitar el tamaño del campo de petición a unos cuantos cientos de 
bytes. Tenga en cuenta que mientras

   esto mantiene la cabecera Range corta - se pueden romper otras;
   como las cookies o los campos importantes de seguridad.

          LimitRequestFieldSize 200


   Tenga en cuenta que como el ataque aun evoluciona  en este campo, es 
probable que tengan que limitar aún más este y/o imponer otros límites 
LimitRequestFields.



   Ver: http://httpd.apache.org/docs/2.2/mod/core.html # 
LimitRequestFieldSize



3) Use mod_headers para deshabilitar completamente el uso de cabeceras 
Range:


          RequestHeader unset Range


   Tenga en cuenta que esto puede ocasionar problemas con ciertos 
clientes - tales como los utilizados para

   e-lectores y video http-streaming/progresivo.


4) Implementar un modulo contador para la cabecera Range como una medida 
provisional temporal:


     http://people.apache.org/ ~ Dirkx / mod_rangecnt.c

   Binarios precompilados para algunas plataformas están disponibles en:

http://people.apache.org/ ~ Dirkx / BINARIES.txt

perdon si encuentran algun error en la traduccion, espero les sea util,
saludos,

--


Michael González Medina.
Administrador de Red, CNSV.
Linux User #530254.
Nota: En este mensaje se han omitido los acentos.


______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l














    











					Responder a