Foros de daboweb

GENERAL, ayuda informatica, trucos, problemas, internet, messenger, software, programas, solidaridad, P2P => Noticias publicadas en Daboweb. Deja aquí tu opinión -;) => Mensaje iniciado por: Dabo en 30 de Agosto de 2011, 11:47:22 am

Título: Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
Publicado por: Dabo en 30 de Agosto de 2011, 11:47:22 am
Aplicando los correspondientes "aptitude safe-upgrade" en los servidores, la noticia en la web;

http://www.daboweb.com/2011/08/30/debian-dsa-22981-solventados-dos-bugs-en-apache-que-provocan-ataques-dos/
Título: Re:Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
Publicado por: piscue en 31 de Agosto de 2011, 10:35:14 am
He aplicado el supuesto parche en la oldstable (lenny) y parece seguir siendo vulnerable.

Por ahora lo único que parece mitigar el problema en lenny parece ser las reglar que se han publicado del mod_rewrite:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC]
RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(\s*,\s*[0-9]*-[0-9]*)+
RewriteRule .* - [F]
Título: Re:Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
Publicado por: Dabo en 31 de Agosto de 2011, 12:39:02 pm
Hola Piscue, a mi quitar el deflate me vino bien y en otros servers también aplicar la primera opción del post,  pero ya está disponible la versión 2.2.0 y también el enlace a la descarga (que no aparecía a pesar del anuncio).

http://www.daboweb.com/2011/08/30/disponible-apache-2-2-20-que-solventa-ataques-de-denegacion-de-servicio-cve-2011-3192/

Saludos y bienvenido -;)
Título: Re:Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
Publicado por: piscue en 31 de Agosto de 2011, 01:07:48 pm
Hola Dabo,

Pues el deflate ya estaba deshabilitado. Me gustaria esperar al siguiente paquete debian. En el svn parece que ha habido 2 updates para el mismo fallo.

Tu has podido comprobar que no te afecta la vulnerabilidad? o mejor, tienes algun server aún en lenny?
Título: Re:Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
Publicado por: Dabo en 31 de Agosto de 2011, 03:39:16 pm
Pues sí, comprobado en Lenny también con un a2dismod deflate y un reload a la conf, pero vaya, en otro lenny acabo de ver como metiendo debajo de "server root" el RequestHeader unset Range también queda parcheado...

Mira de nuevo el post a ver si te ayuda; http://www.daboweb.com/2011/08/24/vulnerabilidad-0-day-y-ataques-dos-en-apache-2-0-2-2-y-1-3-medidas-para-paliarlo/

Y añado, en Lenny con la última actualización y con el deflate también ha quedado solventado, no lo entiendo la verdad, saludos -;)
Título: Re:Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
Publicado por: piscue en 31 de Agosto de 2011, 11:44:28 pm
Hola Dabo,

He probado varios metodos pero en un par de servers sigue siendo vulnerable, pero no me acordaba que cambie un poco el killapache.pl...

Basicamente dónde en el código te dice: "Host does not seem vulnerable", he comentado el "exit;" de la misma condición, para que ejecute el código aunque el script no cea que sea vulnerable.

El resultado que el ataque funciona ya que el server empieza a crear threads de apache y a subir el load average en segundos.

Te apetece probar? te mando el script con la mini modifcación?
Título: Re:Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
Publicado por: Dabo en 01 de Septiembre de 2011, 09:53:40 pm
Hola, acabo de llegar de viaje, si quieres pásame la IP por privado pero le pasaré el script sin que se llegue a ejecutar sólo a modo de prueba de concepto  ;-)