La veille d'un week-end ensoleillé d'août dernier fut subitement publié un outil exploitant une vulnérabilité de déni de service visant toutes les versions du serveur web Apache.Une exploitation réussie de cette faille est inhabituellement dévastatrice : il est possible de rendre indisponible un serveur web vulnérable en envoyant simplement quelques dizaines de requêtes malveillantes.Cet article décrit les principes de fonctionnement de cette vulnérabilité ainsi que les différentes solutions pour s'en prémunir. Enfin, il rappellera que les attaques de déni de service peuvent également servir à d'autres finalités que la « simple » rupture de service.
1. Introduction
Les vulnérabilités du serveur web Apache ne sont pas légion. Bien que quelques vulnérabilités dans les modules « mod_dav_svn », « mod_proxy » et « mod_proxy_ajp » avaient été déjà publiées, ces dernières ne sont pas atteignables dans une configuration par défaut d'Apache.
Le vendredi 19 août 2011 a été publié sur la liste de diffusion « full disclosure » un message intitulé « Apache Killer » émis par Kingcope (qui s'était déjà illustré par la découverte d'une vulnérabilité de déni de service dans le module « mod_dav_svn » d'Apache) et accompagné d'un script PERL [KILLER].
Deux particularités ont été frappantes lors de la publication de cette vulnérabilité : premièrement, sa portée, car elle affecte toutes les versions du produit Apache HTTPD, et deuxièmement, sa facilité d'exploitation, car elle n'exige quasiment aucune condition pour être exploitée. En effet, il suffit pour cela que le serveur distribue du...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
