E’ da poco stata notificata una vulnerabilità di sicurezza per Apache che può esporre ad attacchi di tipo DDOS. [Notifica di Sicurezza: Apache HTTP Server CVE-2011-3192 Denial Of Service Vulnerability]
Per controllare se il tuo apache è vulnerabile, effettua il seguente comando:
curl -I -H “Range: bytes=0-1,0-2” -s www.esempio.com/robots.txt | grep Partial
Se la risposta del tuo webserver e’
206 Partial Content
Il tuo apache necessita di essere aggiornato alla versione piu’ recente, 2.2.20 che non e’ affetta da questo problema.
Se la nuova versione di apache non è presente nei repository del tuo sistema operativo, puoi ovviare a questo problema in due modi:
- Attiva il modulo mod_headers sul tuo server
- Inserisci l’opzione: RequestHeader unset Range, nel file di configurazione di mod_headers
Oppure se non puoi accedere al server (esempio se sei su hosting condiviso), ma vuoi ugualmente limitare questo problema inserisci questi paramentri all’interno del tuo file .htaccess
Opzione 1:
# Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* – [F]
Opzione 2:
# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range
Per avere una panoramica di tutte le versioni di Apache affette dal bug ecco un articolo dettagliato con tutte le versioni vulnerabili su Security focus e nel frattempo vi invitiamo al più presto a sistemare i vostri sistemi e passar parola 😉
Per fare il test bisogna avere la libreria curl installata, altrimenti? Come è possibile testarlo?
Si, oppure dammi il link del tuo file robots che ti incollo il risultato del test.
Anche la versione 2.2.20 ha questo problema.
Ciao
No la versione 2.2.20 come da sito apache, ha risolto questa vulnerabilita’, infatti e’ stata rilasciata 1 gg prima della comunicazione di sicurezza.
Ciao.