Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Vi har två jobbannonser ute just nu: Sök till Systemadministratör eller Övningsansvarig senast 18 augusti.

Publicerad - Blixtmeddelande

BM11-002 - Blixtmeddelande från CERT-SE - DoS-sårbarhet i Apache HTTP-server

En tillgänglighetsattack är möjlig mot Apaches webbserver. Uppdateringar är på gång.

Problembeskrivning
En extern angripare kan få Apaches HTTP-server att krascha genom att skicka riggade
HTTP-anrop. Ett skadligt anrop består av en stor "Range"-header för en fil med hög
entropi kombinerat med gzip-kompression (mod_deflate eller mod_gzip). Webbservern
kommer då allokera stora mängder minne, vilket kan leda till att webbservern och även
servern kraschar.

För närvarande finns ingen rättning som åtgärdar säkerhetsbristen. Apache arbetar med
en uppdatering som förväntas släppas inom de närmsta dagarna.

Det finns indikationer att sårbarheten utnyttjas aktivt. Exempelkod som visar hur
sårbarheten kan utnyttjas finns publicerat på internet.

Lösning
Följande kan göras för att skydda en sårbar webbserver:

* Använd ModSecurity för att blocka skadliga HTTP-anrop med "range"-header. Mer information:
http://blog.spiderlabs.com/2011/08/mitigation-of-apache-range-header-dos-attack.html

* Använd mod_headers för att blocka skadliga HTTP-anrop med "range"-header.

* Använd mod_rewrite för att begränsa antalet "ranges".

* Begränsa storleken för "header"-fältet med hjälp av "LimitRequestFieldSize".

* Installera temporära patchar.

Ovanstående förslag samt några till finns beskrivna på "apache-httpd-dev"-listan:
http://marc.info/?l=apache-httpd-dev&m=131418828705324&w=2

Michal Zalewski upptäckte säkerhetsbristen redan 2007, men det är först nu då Kingcope släppt
exempelkod som sårbarheten har aktualiserats på nytt.

Påverkade versioner
Apache HTTP Server 2.2.17. Troligen är alla versioner drabbade men sårbarheten är
endast verifierad i denna version.

CVE
CVE-2011-3192

Mer information
https://issues.apache.org/bugzilla/show_bug.cgi?id=51714
http://www.securityfocus.com/bid/49303
http://secunia.com/advisories/45606/
http://securitytracker.com/id/1025960
http://seclists.org/bugtraq/2007/Jan/83
https://threatpost.com/en_us/blogs/apache-dos-bug-resurfaces-spurring-new-attacks-082411

CERT-SE kommer uppdatera följande sida då något nytt händer:
https://www.cert.se/sarbarheter/sr/sr11-177-apache-dos-saarbarhet-i-http-server