Vulnerabilità di Sicurezza per Apache a Rischio DDOS


E’ da poco stata notificata una vulnerabilità di sicurezza per Apache che può esporre ad attacchi di tipo DDOS. [Notifica di Sicurezza: Apache HTTP Server CVE-2011-3192 Denial Of Service Vulnerability]

Per controllare se il tuo apache è vulnerabile, effettua il seguente comando:

curl -I -H “Range: bytes=0-1,0-2” -s www.esempio.com/robots.txt | grep Partial

Se la risposta del tuo webserver e’

206 Partial Content

Il tuo apache necessita di essere aggiornato alla versione piu’ recente, 2.2.20 che non e’ affetta da questo problema.

Se la nuova versione di apache non è presente nei repository del tuo sistema operativo, puoi ovviare a questo problema in due modi:

  1. Attiva il modulo mod_headers sul tuo server
  2. Inserisci l’opzione: RequestHeader unset Range, nel file di configurazione di mod_headers

Oppure se non puoi accedere al server (esempio se sei su hosting condiviso), ma vuoi ugualmente limitare questo problema inserisci questi paramentri all’interno del tuo file .htaccess

Opzione 1:

# Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* – [F]

Opzione 2:

# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

Per avere una panoramica di tutte le versioni di Apache affette dal bug ecco un articolo dettagliato con tutte le versioni vulnerabili su Security focus e nel frattempo vi invitiamo al più presto a sistemare i vostri sistemi e passar parola 😉

Articoli Correlati

Sei membro del forum? Vuoi scrivere anche tu su PROGRAMMI Blog gt
Chiedilo a @giorgiotave