Autor Tema: Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS  (Leído 501 veces)

Desconectado Dabo

  • Administrator
  • *
  • Mensajes: 14600
    • http://www.daboblog.com
Aplicando los correspondientes "aptitude safe-upgrade" en los servidores, la noticia en la web;

http://www.daboweb.com/2011/08/30/debian-dsa-22981-solventados-dos-bugs-en-apache-que-provocan-ataques-dos/
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado piscue

  • Newbie
  • *
  • Mensajes: 3
  • www.daboweb.com
Re:Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
« Respuesta #1 en: 31 de Agosto de 2011, 10:35:14 am »
He aplicado el supuesto parche en la oldstable (lenny) y parece seguir siendo vulnerable.

Por ahora lo único que parece mitigar el problema en lenny parece ser las reglar que se han publicado del mod_rewrite:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC]
RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(\s*,\s*[0-9]*-[0-9]*)+
RewriteRule .* - [F]

Desconectado Dabo

  • Administrator
  • *
  • Mensajes: 14600
    • http://www.daboblog.com
Re:Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
« Respuesta #2 en: 31 de Agosto de 2011, 12:39:02 pm »
Hola Piscue, a mi quitar el deflate me vino bien y en otros servers también aplicar la primera opción del post,  pero ya está disponible la versión 2.2.0 y también el enlace a la descarga (que no aparecía a pesar del anuncio).

http://www.daboweb.com/2011/08/30/disponible-apache-2-2-20-que-solventa-ataques-de-denegacion-de-servicio-cve-2011-3192/

Saludos y bienvenido -;)
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado piscue

  • Newbie
  • *
  • Mensajes: 3
  • www.daboweb.com
Re:Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
« Respuesta #3 en: 31 de Agosto de 2011, 01:07:48 pm »
Hola Dabo,

Pues el deflate ya estaba deshabilitado. Me gustaria esperar al siguiente paquete debian. En el svn parece que ha habido 2 updates para el mismo fallo.

Tu has podido comprobar que no te afecta la vulnerabilidad? o mejor, tienes algun server aún en lenny?

Desconectado Dabo

  • Administrator
  • *
  • Mensajes: 14600
    • http://www.daboblog.com
Re:Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
« Respuesta #4 en: 31 de Agosto de 2011, 03:39:16 pm »
Pues sí, comprobado en Lenny también con un a2dismod deflate y un reload a la conf, pero vaya, en otro lenny acabo de ver como metiendo debajo de "server root" el RequestHeader unset Range también queda parcheado...

Mira de nuevo el post a ver si te ayuda; http://www.daboweb.com/2011/08/24/vulnerabilidad-0-day-y-ataques-dos-en-apache-2-0-2-2-y-1-3-medidas-para-paliarlo/

Y añado, en Lenny con la última actualización y con el deflate también ha quedado solventado, no lo entiendo la verdad, saludos -;)
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado piscue

  • Newbie
  • *
  • Mensajes: 3
  • www.daboweb.com
Re:Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
« Respuesta #5 en: 31 de Agosto de 2011, 11:44:28 pm »
Hola Dabo,

He probado varios metodos pero en un par de servers sigue siendo vulnerable, pero no me acordaba que cambie un poco el killapache.pl...

Basicamente dónde en el código te dice: "Host does not seem vulnerable", he comentado el "exit;" de la misma condición, para que ejecute el código aunque el script no cea que sea vulnerable.

El resultado que el ataque funciona ya que el server empieza a crear threads de apache y a subir el load average en segundos.

Te apetece probar? te mando el script con la mini modifcación?

Desconectado Dabo

  • Administrator
  • *
  • Mensajes: 14600
    • http://www.daboblog.com
Re:Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
« Respuesta #6 en: 01 de Septiembre de 2011, 09:53:40 pm »
Hola, acabo de llegar de viaje, si quieres pásame la IP por privado pero le pasaré el script sin que se llegue a ejecutar sólo a modo de prueba de concepto  ;-)
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

 



condiciones de registro y uso de los foros | Privacidad
el contenido de la web se rige bajo licencia
Creative Commons License