Concretamente, la vulnerabilidad ha sido catalogada como “Range header DoS vulnerability in Apache 1.3 and Apache 2” (CVE-2011-3192:). El tema es serio ya que con un número relativamente bajo de peticiones, pueden producirse ataques de denegación de servicio, debido a un excesivo consumo de memoria y CPU.

Como prueba de concepto, está el script escrito en Perl  denominado”killapache“. Para comprobar si vuestro servidor es susceptible de recibir este tipo de ataques, os recomendamos leer la entrada sobre el tema de Jordi Prats en”systemadmin.es”

Este bug, del que se espera que en 96 h aproximadamente esté parcheado (aunque hablan de parches para las versiones 2.0x y 2.2x, no para la 1.3x según informan), afecta especialmente a Apache junto a módulos relativos a la compresión de ficheros, como puede ser el caso de uno tan popular como mod_deflate. Debido a la falta de actualizaciones, se proponen varias medidas para paliar los efectos del bug.

Estas actuaciones se pueden combinar con otras soluciones de “apoyo” como podrían ser Mod-Evasive, Mod-Security, (D) DoS Deflate, la configuración de vuestro firewall, etc.

(#Disclaimer; En la fuente original ya se informa que estas medidas pueden afectar al normal uso de los sitios webs en los que se implementen. Vídeo por streaming, sesiones activas, ciertas descargas, cookies y otras peticiones legítimas).

1) Utilizar “mod_headers“; (Ponedlo debajo de la directiva “ServerRoot”)

RequestHeader unset Range

2) Usar “mod_rewrite” para limitar el número de intervalos:

RewriteCond % {HTTP:range} ^bytes=[^,]+(,[^,]+) {0,4}$
RewriteRule. *-[F]

3) Reducir el tamaño en bytes de las peticiones; (mejor con la opción 1)

LimitRequestFieldSize 200

4) Usar temporalmente un módulo de “recuento” como mod_rangecnt.c. (esta opción mejor la última…)

http://People.Apache.org/~dirkx/mod_rangecnt.c (descarga directa)

5) Quitar “mod_deflate” temporalmente, la “menos mala” quizás.

(Alguna consideración sobre su desactivación aparte de un “a2dismod” en Debian y derivados)

“Removing any AddOutputFilterByType/SetOutputFilter DEFLATE entries. Disable it with “BrowserMatch .* no-gzip“

Ante las dudas que os puedan surgir, os recomendamos permanecer atentos a posibles parches y leer la fuente original de este artículo o está información de “Debian Security” en el que hablan del bug y cómo afecta a Apache en su versión estable. También es recomendable seguir este hilo para contrastar e ir leyendo más información.

Por David Hernández (Dabo).

Compartir

Se ha detectado una vulnerabilidad en OpenSSL, el conocido y utilizado sistema de seguridad de transporte de comunicaciones en red de código abierto,  mediante la cual un usuario remoto podría causar una denegación de servicio en el sistema afectado, ejecutando código arbitrario mediante el envío de datos especialmente manipulados y creados para comprometer la seguridad. Las versiones de OpenSSL que soporten TLS estan afectadas por este fallo, con lo que se recomienda la actualización inmediata.

En este enlace tenéis mas información al respecto, tanto de versiones afectadas, parches que solucionan el problema y nuevas versiones que solucionan esta grave vulnerabilidad.

Compartir

Los poseedores de SuSE Linux Enterprise 10 pueden proceder a la actualización del kernel del sistema cómodamente mediante la herramienta YaST, solucionando de esta manera un grave problema de seguridad originado en la función nfs_wait_on_request, del archivo  fs/nfs/pagelist.c del kernel de Linux,  mediante la cual se permite a un atacante provocar una denegación de servicio  mediante vectores especialmente construidos para este caso, los cuales están  relacionados con el truncado de archivos y una operación que no pueda interrumpirse.

En esta misma actualización, los responsables de Suse Linux han dado solución a otros fallos encontrados, por lo que se recomienda que los usuarios de estas versiones actualicen el núcleo del sistema cuanto antes.

Compartir

Acaba de salir una nueva versión de este conocidísimo servidor web open source, concretamente la 2.2.16, la cual da solución a dos vulnerabilidades, una de denegación de servicio en los módulos “mod_cache” y “mod_dav”, así como otra de divulgación de información sensible en “mod_proxy_http”. En el caso del primer fallo se trataba de un error que ocurría cuando se enviaban por parte de un atacante direcciones http especialmente manipuladas y creadas para tal fin, gracias a una vulnerabilidad en la directiva “CacheIgnoreURLSessionIdentifiers” presente en Apache desde la versión 2.2.14.

Desde el proyecto Apache se recomienda la actualización inmediata a esta nueva entrega. En este enlace tenéis mas información al respecto, sobre todo las versiones afectadas en cada vulnerabilidad y enlaces a los parches que se han publicado para esta eventualidad.

Compartir

Ha sido detenido por la Guardia Civil (leer debajo la nota de prensa) el menor de edad que entre otros sites, ha sido el causante de un ataque de denegación de servicio a la web de hacking y seguridad informática elhacker.net.

Modus Operandi;

El menor colgaba un vídeo en youtube con frases atractivas para captar la atención del internauta, de esta forma conseguía que el usuario se descargarse el contenido y automáticamente resultaba infectado.

Este virus tenía la peculiaridad de poder propagarse por conducto de programas tan extendidos como Messenger, Fotolog, etc.

Una vez infectados con el virus, el menor pasaba a dominar los PCs a su antojo con la intención de realizar visitas a la misma vez, a las páginas que quería atacar, colapsando los servidores de las mismas.

Un ejemplo de ello, fue la página www.elhacker.net, que sufrió en pocos minutos más de doce millones de visitas simultáneas, cuando el promedio ordinario oscilaba en unas cien mil.

Mediante esta operación había conseguido controlar más de 75.000 ordenadores

Fuente, Guardia Civil | Más info en elhacker.net (foro)..

Se trata de una comunidad muy cercana a nosotros y vaya desde aquí toda nuestra solidaridad. Nos alegramos de que hayan cesado los ataques y al causante habría que decirle que reflexionara a ver si realmente ha merecido la pena.

Hablando de hacking o seguridad informática, dos conceptos que van en paralelo, el talento o una aptitud determinada en cualquiera de sus múltiples ramas, deben ser aprovechados para otros fines en los que la ética y como se aplican esos conocimientos, serán quienes nos alejen de ser un cracker o lo que es lo mismo, un delincuente informático.

Un abrazo para El Brujo y toda su comunidad.

Compartir

Se han reportado varias vulnerabilidades en el popular servidor web Apache que pueden ser explotadas tanto local como remotamente para provocar un ataque de denegación de servicio o comprometer un sistema vulnerable.

Los fallos están causados por diversos errores en APR (Apache Portable Runtime) y APR-util y afectan a versiones 2.2.12 y anteriores.

La solución pasa por actualizar Apache a la versión 2.2.13 siendo más que aconsejable su inmediata actualización ya que esa versión también incorpora otras mejoras.

Fuente VUPEN | Más info versión 2.2.13 (Apache).

Compartir

El popular servidor de nombres de dominio BIND, es sensible a un ataque de denegación de servicio con exploit publicado para realizar dicho ataque a servidores DNS.

El bug afecta a servidores maestros, no esclavos y el fallo se da en malformaciones en los mensajes de actualización que pueden ser manipulados para provocar un ataque DoS con el resultado de la caida del servidor afectado.

Desde el ISC (Internet Software Consortium), creadores de BIND, instan a todos los administradores de sistemas a actualizar lo antes posible BIND.

Tal y como pude comprobar ayer, en servidores Debian ya estaba la actualización vía apt y Debian Security. Desde este enlace podréis acceder a la sección de descarga de las versiones de BIND 9x actualizadas y más info sobre el bug.

Fuente Barrapunto.

Compartir