Resultados 1 a 4 de 4
  1. #1
    Moderador
    Data de Ingresso
    Oct 2010
    Localização
    Pantanal
    Posts
    142

    Exclamation Falha no Apache permite envio DDOS

    versão traduzida pelo google:

    A Apache Software Foundation (Welcome to The Apache Software Foundation!) deve divulgar um patch dentro dos próximos dias para uma vulnerabilidade encontrada no software servidor que poderia ser usado para enviar um ataque de negação de serviço.

    Em 20 de agosto, uma façanha que pode ser usado contra HTTPD Apache Web Server versões 1.3 e 2.X foi lançado na lista de discussão Full Disclosure.

    Hackers podem usar o "Killer Apache" exploit para lançar um ataque de negação de serviço contra um servidor Apache a partir de um único computador, esgotar a memória do servidor web e desempenho.

    A Apache Software Foundation lançou um alerta, juntamente com soluções alternativas para a exploração da noite quinta-feira, tarde, antes da sua correção prometida.

    "Ao enviar solicitações HTTP especialmente criadas, que incluem malformados faixa de cabeçalho HTTP, um atacante pode perturbar o funcionamento normal do servidor web, assim, impedindo usuários legítimos de receber respostas do servidor web", a equipe de desenvolvimento escreveu em seu site. "Esse problema afeta todas as versões de software Apache e um patch não foi lançado ainda."

    Kevin Shortt analista de segurança do SANS Internet Storm Center disse que a falha foi relatada pela primeira vez em bugtraq em 2007, mas "não teve muita atenção por desenvolvedores Apache e manteve-se sem correção todo este tempo" devido à "falta de sofisticação a sua".

    No post, sênior pesquisador de segurança Michal Zalewski revelou que ambos os Apache e Serviços da Microsoft Internet Information tinha "implementação de um bizarro da funcionalidade cabeçalho HTTP/1.1 'Intervalo'" cujo "implementações permitem o mesmo fragmento de um arquivo a ser solicitado um número arbitrário de vezes, e cada parte redundante a ser recebido separadamente em um envelope / byteranges separar as várias. "

    Ele escreve, "combinado com a funcionalidade de redimensionamento da janela (de acordo com RFC 1323), é a minha impressão de que um pedido, solitário curtos podem ser usados ​​para enganar o servidor para disparar gigabytes de dados falsos no vazio, independentemente do servidor de arquivos tamanho da contagem de conexão, ou manter-alive número de solicitação limites implementadas pelo administrador. Whoops? "

    A Apache Software Foundation também lançou uma atualização de consultoria sexta de manhã, onde discutiram a exposição adicional do software servidor web para o ataque, e confirmou que "o uso ativo dessa ferramenta tem sido observado."

    Outros fornecedores responderam lançando suas próprias ferramentas de defesa para a exploração, incluindo a Sourcefire, SpiderLabs Trustwave e subsidiária Imperva Incapsula toda a proteção adicional contra acrescentando que o ataque do assassino Apache.

    Apache é o software de servidor web mais popular hoje e funciona em todas as plataformas principais do sistema operacional.
    do original: Patch Released for Apache Software DDoS Vulnerability | WHIR Web Hosting Industry News

    Código:
    Alguem sabe se esta correção já saiu???
    Eu venci? Irado...então posso surfar de novo?

  2. #2
    Aspirante a Evangelist
    Data de Ingresso
    Nov 2010
    Posts
    441

    Falha que facilitava ataque DoS foi corrigida no Apache 2.2.20

    Há alguns dias foi descoberta uma falha grave no Apache, famoso servidor web quase sempre usado em ambientes GNU/Linux. Ela não é sensível a segurança pois não permite roubar dados, mas é grave por deixar o servidor fora do ar rapidamente (ataque de negação de serviço, DoS).

    Ela foi corrigida na versão 2.2.20, que já deve estar disponível em alguns mirrors - no Debian foi corrigida no dia 29.

    Basicamente a correção se dá no tratamento dos intervalos de bytes chamados para os arquivos, um recurso que permite baixar apenas uma parte deles. É algo extremamente utilizado em gerenciadores de downloads para baixar várias partes ao mesmo tempo, ou continuar downloads interrompidos, onde é necessário informar ao servidor em que ponto o programa deseja começar a puxar os dados.

    Em algumas situações, dependendo das requisições enviadas o Apache consumia muita memória e CPU, ficando virtualmente travado - ou seja, deixando todo o servidor web offline.

    A correção reduz a quantidade de memória solicitada pelo recurso. E se a soma de todos os intervalos solicitados for maior do que o tamanho original do arquivo, o servidor passará a ignorar esse pedido e simplesmente entregará o arquivo inteiro.

    Na prática isso não deve afetar os gerenciadores de download nem a continuação dos que estiverem em pausa, já que nenhum programa legítimo em "sã consciência" pediria para baixar mais bytes do que os que os arquivos têm.

    Fonte: Falha que facilitava ataque DoS foi corrigida no Apache 2.2.20

    O cPanel ainda não liberou a correção ainda né?

  3. #3
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106
    Como saber se seu Apache está com esta falha?

    Execute o seguinte comando:

    curl -I -H "Range: bytes=0-1,0-2" -s IANA — Example domains | grep Partial


    Se voce ver a menssagem 206 Partial Content na resposta - seu Apache é vulneravel.
    Siga-nos em nosso twitter: @wht_brasil

  4. #4
    Quero ser Guru
    Data de Ingresso
    Aug 2011
    Localização
    Salvador
    Posts
    42
    já saiu a atualização do apache 2.2.20, já podem atualizar.
    JatWeb Tecnologia - Site: www.jatweb.info -
    Serv. Dedicados, Serv. Virtuais, Disco Virtual, Revenda, PABX Virtual, Fax Virtual, Registro de Domínio, Gerenciamento de Servidores
    Soluções :: Varnish :: NGINX :: APACHE PLUS :: Mod Security ::
    Telefone: (11) 3014-5023 / (61) 3246-0061 / (51) 3103-0819 Horário 08:30h - 11:30h / 14:00h - 16:30h
    Suporte 24h via Ticket.

Tags para este Tópico

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •