Une vulnérabilité pouvant faire tomber Apache par une attaque DoS a été découverte


     1


Alaa-eddine

Une faille de sécurité a été découverte récemment dans le serveur web Apache pouvant provoquer un déni de service.

Toutes les versions  1.3.x et 2.x.x sont affectées par cette vulnérabilité, plus de détails sont ici :http://www.securityfocus.com/bid/49303/info
Une personne mal intentionnée peut attaquer les serveurs Apache et les faire tomber.

Des exploits existent déjà et et aucun correctif n’a encore été diffusé.

Il existe cependant un contournement à cette vulnérabilité en utilisant la réecriture d’URL, ce n’est pas un correctif final, mais juste une mesure pour limiter les dégats en attendant un correctif officiel.

pour celà, éditez votre fichier .htaccess et ajoutez y ces lignes tout au début.

 

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC]
RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(\s*,\s*[0-9]*-[0-9]*)+
RewriteRule .* - [F]

Si vous gérez des grosses infrastructures restez prudent et consultez vos logs.



 

A lire également

 
  • Gps Tomtom

    Aie, la plupart des serveurs dédiés tournent avec Apache. J’espère que certains ne vont pas en profiter.