Daboweb

Apache

[Breves] Vulnerabilidad grave en “Apache Traffic Server”.

Posted by Dabo on marzo 26, 2012
Seguridad Básica, [Breves]

Según leemos en H-Online (ENG), se ha reportado un fallo de seguridad catalogado como de impacto alto en “Apache Traffic Server” (CVE-2012-0256).

Dicho bug afecta prácticamente a todas las ramas 2.x y 3.x (incluso las de desarrollo) y se recomienda actualizar a la mayor brevedad posible a la versión 3.0.4 dado que evita tanto ataques de denegación de servicio (DoS) o la ejecución arbitraria de código.

Más información (Apache Server).

Tags: , , , , , , ,

Vulnerabilidades en Apache Tomcat 5, 6 y 7

Posted by vlad on enero 23, 2012
Seguridad Informática

A través de Hispasec nos hacemos eco de las vulnerabilidades remotas localizadas en el contenedor de servlets Apache Tomcat, desarrollado por la Apache Software Foundation, las cuales han sido consideradas como de importancia por sus mantenedores, con lo que se recomienda a aquellos administradores que lo usen en su servidor procedan a comprobar si su versión de Tomcat es una de las afectadas. En concreto se trata de los siguientes fallos:

  •  Denegación de servicio remota  relacionada con las colisiones en las tablas hash. Las versiones afectadas son la 5, 6 y 7
  •  Revelación de información sensible debido a un error en el reciclado de objetos que podría volver visibles datos como IPs remotas o cabeceras HTTP a través de peticiones especialmente manipuladas. Las versiones afectadas son la 6 y 7.

Más información y solución en Hispasec

Tags: , , , , , , ,

Disponible Apache 2.2.20 que solventa ataques de denegación de servicio (CVE-2011-3192)

Posted by Dabo on agosto 30, 2011
Seguridad Informática

Como habéis podido leer hoy en Daboweb, hace unas horas os informábamos acerca de los parches que ha aplicado Debian con una nueva versión de Apache que solventaba la vulnerabilidad y los ataque DoS CVE-2011-3192 (además de uno específico en mod_dav) tanto en la rama “oldstable” (Lenny) como en la “stable” (squeeze).

Os informamos que ya está disponible una nueva versión de Apache (2.2.20) que solventa dicho bug por lo que es más que recomendable su actualización a la mayor brevedad posible, además de revertir los posibles cambios (por ejemplo la activación de mod_deflate) relalizados para mitigar el impacto del bug cuando aún no había parches oficiales.

Información sobre cambios y correcciones | Descarga de la nueva versión | Fuente Sans.

Tags: , , , ,

Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS

Posted by Dabo on agosto 30, 2011
Seguridad Informática

Hace unos días os hablamos de la vulnerabilidad que afectaba al servidor web Apache. Esta vulnerabilidad permitía ataques de denegación de servicio y que con un número limitado de peticiones, dicho ataque dejase al servidor web afectado sin recursos por un excesivo consumo de memoria y CPU.

Debian ha puesto a disposición de los usuarios los correspondientes parches que solventan dicha vulnerabilidad  (CVE-2011-3192) (etiquetados como 2.2.9-10+lenny10 y 2.2.16-6+squeeze2.)

Además, se añade un parche específico para la versión “oldstable” (Lenny) que solventa un bug que afecta a mod_dav (CVE-2010-1452) que también podía derivar en ataques de DoS en el servidor web.

Más información sobre el anuncio (Debian DSA-22981 Apache 2) en Debian.

En estos momentos, en el sitio web oficial de Apache aún no hacen mención a una nueva relase que corrija estos bugs, pero se espera que en unas horas esté disponible una versión con el parche para su instalación/compilación.

Tags: , , , , , ,

Vulnerabilidad “0-day” y ataques DoS en Apache 2.0, 2.2 y 1.3. Medidas para paliarlos

Posted by Dabo on agosto 24, 2011
Seguridad Informática

Concretamente, la vulnerabilidad ha sido catalogada como “Range header DoS vulnerability in Apache 1.3 and Apache 2” (CVE-2011-3192:). El tema es serio ya que con un número relativamente bajo de peticiones, pueden producirse ataques de denegación de servicio, debido a un excesivo consumo de memoria y CPU.

Como prueba de concepto, está el script escrito en Perl  denominado”killapache“. Para comprobar si vuestro servidor es susceptible de recibir este tipo de ataques, os recomendamos leer la entrada sobre el tema de Jordi Prats en”systemadmin.es

Este bug, del que se espera que en 96 h aproximadamente esté parcheado (aunque hablan de parches para las versiones 2.0x y 2.2x, no para la 1.3x según informan), afecta especialmente a Apache junto a módulos relativos a la compresión de ficheros, como puede ser el caso de uno tan popular como mod_deflate. Debido a la falta de actualizaciones, se proponen varias medidas para paliar los efectos del bug.

Estas actuaciones se pueden combinar con otras soluciones de “apoyo” como podrían ser Mod-Evasive, Mod-Security, (D) DoS Deflate, la configuración de vuestro firewall, etc.

(#Disclaimer; En la fuente original ya se informa que estas medidas pueden afectar al normal uso de los sitios webs en los que se implementen. Vídeo por streaming, sesiones activas, ciertas descargas, cookies y otras peticiones legítimas).

1) Utilizar “mod_headers“; (Ponedlo debajo de la directiva “ServerRoot”)

RequestHeader unset Range

2) Usar “mod_rewrite” para limitar el número de intervalos:

RewriteCond % {HTTP:range} ^bytes=[^,]+(,[^,]+) {0,4}$
RewriteRule. *-[F]

3) Reducir el tamaño en bytes de las peticiones; (mejor con la opción 1)

LimitRequestFieldSize 200

4) Usar temporalmente un módulo de “recuento” como mod_rangecnt.c. (esta opción mejor la última…)

http://People.Apache.org/~dirkx/mod_rangecnt.c (descarga directa)

5) Quitar “mod_deflate” temporalmente, la “menos mala” quizás.

(Alguna consideración sobre su desactivación aparte de un “a2dismod” en Debian y derivados)

Removing any AddOutputFilterByType/SetOutputFilter DEFLATE entries. Disable it with “BrowserMatch .* no-gzip

Ante las dudas que os puedan surgir, os recomendamos permanecer atentos a posibles parches y leer la fuente original de este artículo o está información de “Debian Security” en el que hablan del bug y cómo afecta a Apache en su versión estable. También es recomendable seguir este hilo para contrastar e ir leyendo más información.

Por David Hernández (Dabo).

Tags: , , , , , , ,

Apache 2.4 beta: httpd 2.3.11

Posted by vlad on marzo 11, 2011
Seguridad Informática

Publicada la primera versión beta de este utilizadísimo servidor web opensource. Se están haciendo muchos trabajos para mejorar las prestaciones del mismo, como pueden ser cambios en los módulos de multiproceso, con una mejora en el soporte asíncrono de lectura y escritura. También  se han añadido nuevos modulos como mod_ratelimit, para limitar el ancho de banda que consumen los clientes, o bien mod_slotmem_shm, que crea una área de memoria compartida con el scoreboard del estado de los procesos/threads de Apache entre otros.

Recordemos que se trata de una versión no apta para producción y que no es recomendable su uso en sistemas finales, pero en la que los profesionales del sector puedn ir viendo cuales serán las novedades que traerá consigo la versión definitiva.

Tags: , ,

Dabo y Ricardo Galli (Menéame, UIB) hablando de la administración de servidores web

Posted by Redacción on noviembre 20, 2010
Webmaster

Nuestro compañero Dabo se pone en esta ocasión al micro junto a Ricardo Galli (Menéame, UIB) en un episodio especial de su podcast dedicado a la administración y gestión de un servidor o proyecto web.

El resultado, ha sido una didáctica charla sobre sysadmins entre dos colegas que nos van haciendo entrar en escena a medida que transcurre el podcast abarcando las siguientes cuestiones;

Escalado web, MySQL, Amazon, Apache, Ngnix, Caching, Monitorización, Seguridad.

Acceder aEspecial SysAdmins en Kernel Panic(Dabo) | “Un podcast para SysAdmins (Gallir).

Junto a la entrada original en DaboBlog, se puede ver una extensa documentación de todo lo comentado en el audio.

Tags: , , , , , , , , , , ,

Apache 2.2.16

Posted by vlad on julio 28, 2010
Seguridad Informática

Acaba de salir una nueva versión de este conocidísimo servidor web open source, concretamente la 2.2.16, la cual da solución a dos vulnerabilidades, una de denegación de servicio en los módulos “mod_cache” y “mod_dav”, así como otra de divulgación de información sensible en “mod_proxy_http”. En el caso del primer fallo se trataba de un error que ocurría cuando se enviaban por parte de un atacante direcciones http especialmente manipuladas y creadas para tal fin, gracias a una vulnerabilidad en la directiva “CacheIgnoreURLSessionIdentifiers” presente en Apache desde la versión 2.2.14.

Desde el proyecto Apache se recomienda la actualización inmediata a esta nueva entrega. En este enlace tenéis mas información al respecto, sobre todo las versiones afectadas en cada vulnerabilidad y enlaces a los parches que se han publicado para esta eventualidad.

Tags: , , , ,