Daboweb

Apache

[Breves] Vulnerabilidad grave en “Apache Traffic Server”.

Posted by Dabo on marzo 26, 2012
[Breves], Seguridad Básica

Según leemos en H-Online (ENG), se ha reportado un fallo de seguridad catalogado como de impacto alto en “Apache Traffic Server” (CVE-2012-0256).

Dicho bug afecta prácticamente a todas las ramas 2.x y 3.x (incluso las de desarrollo) y se recomienda actualizar a la mayor brevedad posible a la versión 3.0.4 dado que evita tanto ataques de denegación de servicio (DoS) o la ejecución arbitraria de código.

Más información (Apache Server).

Tags: , , , , , , ,

Vulnerabilidades en Apache Tomcat 5, 6 y 7

Posted by vlad on enero 23, 2012
Seguridad Informática

A través de Hispasec nos hacemos eco de las vulnerabilidades remotas localizadas en el contenedor de servlets Apache Tomcat, desarrollado por la Apache Software Foundation, las cuales han sido consideradas como de importancia por sus mantenedores, con lo que se recomienda a aquellos administradores que lo usen en su servidor procedan a comprobar si su versión de Tomcat es una de las afectadas. En concreto se trata de los siguientes fallos:

  •  Denegación de servicio remota  relacionada con las colisiones en las tablas hash. Las versiones afectadas son la 5, 6 y 7
  •  Revelación de información sensible debido a un error en el reciclado de objetos que podría volver visibles datos como IPs remotas o cabeceras HTTP a través de peticiones especialmente manipuladas. Las versiones afectadas son la 6 y 7.

Más información y solución en Hispasec

Tags: , , , , , , ,

Disponible Apache 2.2.20 que solventa ataques de denegación de servicio (CVE-2011-3192)

Posted by Dabo on agosto 30, 2011
Seguridad Informática

Como habéis podido leer hoy en Daboweb, hace unas horas os informábamos acerca de los parches que ha aplicado Debian con una nueva versión de Apache que solventaba la vulnerabilidad y los ataque DoS CVE-2011-3192 (además de uno específico en mod_dav) tanto en la rama “oldstable” (Lenny) como en la “stable” (squeeze).

Os informamos que ya está disponible una nueva versión de Apache (2.2.20) que solventa dicho bug por lo que es más que recomendable su actualización a la mayor brevedad posible, además de revertir los posibles cambios (por ejemplo la activación de mod_deflate) relalizados para mitigar el impacto del bug cuando aún no había parches oficiales.

Información sobre cambios y correcciones | Descarga de la nueva versión | Fuente Sans.

Tags: , , , ,

Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS

Posted by Dabo on agosto 30, 2011
Seguridad Informática

Hace unos días os hablamos de la vulnerabilidad que afectaba al servidor web Apache. Esta vulnerabilidad permitía ataques de denegación de servicio y que con un número limitado de peticiones, dicho ataque dejase al servidor web afectado sin recursos por un excesivo consumo de memoria y CPU.

Debian ha puesto a disposición de los usuarios los correspondientes parches que solventan dicha vulnerabilidad  (CVE-2011-3192) (etiquetados como 2.2.9-10+lenny10 y 2.2.16-6+squeeze2.)

Además, se añade un parche específico para la versión “oldstable” (Lenny) que solventa un bug que afecta a mod_dav (CVE-2010-1452) que también podía derivar en ataques de DoS en el servidor web.

Más información sobre el anuncio (Debian DSA-22981 Apache 2) en Debian.

En estos momentos, en el sitio web oficial de Apache aún no hacen mención a una nueva relase que corrija estos bugs, pero se espera que en unas horas esté disponible una versión con el parche para su instalación/compilación.

Tags: , , , , , ,

Vulnerabilidad “0-day” y ataques DoS en Apache 2.0, 2.2 y 1.3. Medidas para paliarlos

Posted by Dabo on agosto 24, 2011
Seguridad Informática

Concretamente, la vulnerabilidad ha sido catalogada como “Range header DoS vulnerability in Apache 1.3 and Apache 2” (CVE-2011-3192:). El tema es serio ya que con un número relativamente bajo de peticiones, pueden producirse ataques de denegación de servicio, debido a un excesivo consumo de memoria y CPU.

Como prueba de concepto, está el script escrito en Perl  denominado”killapache“. Para comprobar si vuestro servidor es susceptible de recibir este tipo de ataques, os recomendamos leer la entrada sobre el tema de Jordi Prats en”systemadmin.es

Este bug, del que se espera que en 96 h aproximadamente esté parcheado (aunque hablan de parches para las versiones 2.0x y 2.2x, no para la 1.3x según informan), afecta especialmente a Apache junto a módulos relativos a la compresión de ficheros, como puede ser el caso de uno tan popular como mod_deflate. Debido a la falta de actualizaciones, se proponen varias medidas para paliar los efectos del bug.

Estas actuaciones se pueden combinar con otras soluciones de “apoyo” como podrían ser Mod-Evasive, Mod-Security, (D) DoS Deflate, la configuración de vuestro firewall, etc.

(#Disclaimer; En la fuente original ya se informa que estas medidas pueden afectar al normal uso de los sitios webs en los que se implementen. Vídeo por streaming, sesiones activas, ciertas descargas, cookies y otras peticiones legítimas).

1) Utilizar “mod_headers“; (Ponedlo debajo de la directiva “ServerRoot”)

RequestHeader unset Range

2) Usar “mod_rewrite” para limitar el número de intervalos:

RewriteCond % {HTTP:range} ^bytes=[^,]+(,[^,]+) {0,4}$
RewriteRule. *-[F]

3) Reducir el tamaño en bytes de las peticiones; (mejor con la opción 1)

LimitRequestFieldSize 200

4) Usar temporalmente un módulo de “recuento” como mod_rangecnt.c. (esta opción mejor la última…)

http://People.Apache.org/~dirkx/mod_rangecnt.c (descarga directa)

5) Quitar “mod_deflate” temporalmente, la “menos mala” quizás.

(Alguna consideración sobre su desactivación aparte de un “a2dismod” en Debian y derivados)

Removing any AddOutputFilterByType/SetOutputFilter DEFLATE entries. Disable it with “BrowserMatch .* no-gzip

Ante las dudas que os puedan surgir, os recomendamos permanecer atentos a posibles parches y leer la fuente original de este artículo o está información de “Debian Security” en el que hablan del bug y cómo afecta a Apache en su versión estable. También es recomendable seguir este hilo para contrastar e ir leyendo más información.

Por David Hernández (Dabo).

Tags: , , , , , , ,

Apache 2.4 beta: httpd 2.3.11

Posted by vlad on marzo 11, 2011
Seguridad Informática

Publicada la primera versión beta de este utilizadísimo servidor web opensource. Se están haciendo muchos trabajos para mejorar las prestaciones del mismo, como pueden ser cambios en los módulos de multiproceso, con una mejora en el soporte asíncrono de lectura y escritura. También  se han añadido nuevos modulos como mod_ratelimit, para limitar el ancho de banda que consumen los clientes, o bien mod_slotmem_shm, que crea una área de memoria compartida con el scoreboard del estado de los procesos/threads de Apache entre otros.

Recordemos que se trata de una versión no apta para producción y que no es recomendable su uso en sistemas finales, pero en la que los profesionales del sector puedn ir viendo cuales serán las novedades que traerá consigo la versión definitiva.

Tags: , ,

Dabo y Ricardo Galli (Menéame, UIB) hablando de la administración de servidores web

Posted by Redacción on noviembre 20, 2010
Webmaster

Nuestro compañero Dabo se pone en esta ocasión al micro junto a Ricardo Galli (Menéame, UIB) en un episodio especial de su podcast dedicado a la administración y gestión de un servidor o proyecto web.

El resultado, ha sido una didáctica charla sobre sysadmins entre dos colegas que nos van haciendo entrar en escena a medida que transcurre el podcast abarcando las siguientes cuestiones;

Escalado web, MySQL, Amazon, Apache, Ngnix, Caching, Monitorización, Seguridad.

Acceder aEspecial SysAdmins en Kernel Panic(Dabo) | “Un podcast para SysAdmins (Gallir).

Junto a la entrada original en DaboBlog, se puede ver una extensa documentación de todo lo comentado en el audio.

Tags: , , , , , , , , , , ,

Apache 2.2.16

Posted by vlad on julio 28, 2010
Seguridad Informática

Acaba de salir una nueva versión de este conocidísimo servidor web open source, concretamente la 2.2.16, la cual da solución a dos vulnerabilidades, una de denegación de servicio en los módulos “mod_cache” y “mod_dav”, así como otra de divulgación de información sensible en “mod_proxy_http”. En el caso del primer fallo se trataba de un error que ocurría cuando se enviaban por parte de un atacante direcciones http especialmente manipuladas y creadas para tal fin, gracias a una vulnerabilidad en la directiva “CacheIgnoreURLSessionIdentifiers” presente en Apache desde la versión 2.2.14.

Desde el proyecto Apache se recomienda la actualización inmediata a esta nueva entrega. En este enlace tenéis mas información al respecto, sobre todo las versiones afectadas en cada vulnerabilidad y enlaces a los parches que se han publicado para esta eventualidad.

Tags: , , , ,

Difusión de Malware a través de secuestros DNS en subdominios

Posted by Dabo on mayo 23, 2010
Seguridad Informática

Si decimos que la industria del Malware, además de molesta, perniciosa y cansina, está siempre “a la última” en cuanto a técnicas de infección-redifusión, no sería nada nuevo ya que de todos es sabido.

Pero no está de más tener en cuenta esta información que podemos leer en Slashdot (ENG) con origen en este enlace (ENG), en la que se hacen eco de un aumento de ataques a través de servidores DNS vulnerables o con configuraciones potencialmente explotables, que son un filón para los crackers que consiguen hacerse con el control de esos servidores DNS, redirigiendo varios subdominios legítimos a una IP diferente y desde donde se llevan a cabo los ataques (de todo tipo) hacia el usuario a través de su navegador.

Sirva también a modo de recordatorio para los que administramos un servidor web, ya que como bien apuntan en la entrada original, a veces, una vez que has configurado las zonas DNS así como los diferentes dominios principales y subdominios, puede que no se revisen con la frecuencia que sería deseable y más si son subdominios creados no para servir páginas, sino para alojar por ejemplo imágenes, ficheros, etc, donde rara vez se consulta vía web sino más bien por FTP-SFTP.

Aunque personalmente opino que si ya se han hecho con el control de tu DNS, estás técnicamente K.O. Si hablamos de un servidor web bajo GNU/Linux, no está de más revisar esas configuraciones DNS y usar herramientas como “nslookup” o hacer consultas DNS con el comando “dig” para ver que está todo correcto y que tanto los dominios principales como subdominios, apuntan a IPs correctas.

Y para acabar, hablando de subdominios, es importante revisar a nivel de Apache que no queden expuestos o la vista de todos los subdominios (listado de directorios), aunque con un simple “index.php” o “.html” en el directorio principal del subdominio, caso de que como dije antes no se sirva tráfico web desde él, el contenido alojado dentro no quedará expuesto.

Tags: , , , , , , , ,

(Tutorial) Instalando un servidor web bajo Nginx con PHP 5.3 y PHP-fpm en Ubuntu/Debian

Posted by Dabo on febrero 09, 2010
Webmaster

Como bien comenta su autor en la introducción de este tutorial de HowToForge que os recomendamos hoy, está claro que hay otras alternativas al excelente servidor web Apache, en algunos casos, más ligeras con el consumo de recursos (memoria básicamente) como sucede con el servidor web multiplataforma con licencia BSD Nginx (otra alternativa sería lighthttpd).

Además, como podréis leer, el proceso de instalación y puesta en funcionamiento es muy sencillo, siendo en este caso válido para dos distros de GNU/Linux tan populares como Ubuntu y Debian (en la que hay sólo una pequeña diferencia), aunque en otras distros será muy parecido también, dependiendo de que sistema de instalación o manejo de paquetes tenga.

Esta guía de instalación de Nginx con PHP 5.3 y PHP-fpm, está escrita en Inglés, pero cualquier usuario que esté acostumbrado a estas prácticas, no tendrá ningún problema para ponerlo en marcha. Se entiende que en ambos casos, hay instalada una versión estable y funcional de Ubuntu o Debian.

Acceso a; Servidor web Nginx + PHP 5.3 + PHP-fpm en Ubuntu/Debian (ENG)

Tags: , , , , , , , ,