Mise à jour : la version 2.2 d'Apache corrige désormais cette vulnérabilité.

Une nouvelle et très efficace attaque par déni de service est actuellement menée contre des serveurs web Apache en production. Selon un test réalisé par un membre de la liste de diffusion Full Disclosure, une centaine de threads suffisent à faire tomber un serveur de bonne taille, ce qui met cette attaque à la porté de (presque) n’importe qui. Plus inquiétant encore : la totalité des serveurs Apache actuels, dans leur configuration par défaut, seraient vulnérables.

L’attaque peut être lancée à distance et son outil d’exploitation (en Perl) est déjà disponible. Celui-ci exploite une vulnérabilité dans la gestion du header range d’Apache.

Concrètement l’attaque pourra avoir lieu lorsque du contenu est compressé à la volée par Apache avec le module mod_deflate (bien que ce ne soit pas ce module qui soit en cause : d’autres modules similaires sont susceptibles d’être eux aussi vulnérables s’ils utilisent la même fonctionnalité d’Apache)

Dans un email l’équipe du projet HTTPd d’Apache promet un correctif dans les prochaines 96 heures. D’ici là, plusieurs solutions provisoires sont avancées :

• Interdire le recours aux range headers (au risque de rendre le serveur incompatible avec certains clients tels les e-Readers ou d’empêcher le streaming HTTP)
• Utiliser mod_rewrite pour réduire la plage des en-têtes concernés.
• Limiter la taille des requêtes à quelques centaines d’octets (cependant cela risque de créer d’autres problèmes)
• Déployer un module tiers de contrôle des Range headers
• Désactiver la compression à la volée (si le serveur ne sert que du contenu statique).

Toutes ces mesures sont détaillées dans l’email du projet HTTPd.

Par ailleurs, un membre de la liste Full Disclosure indique avoir obtenu de bons résultats en protégeant ses serveurs derrière un HAProxy bien configuré : plus de 1000 threads étaient alors nécessaires avant de constater une légère baisse des performances, et un tel trafic est plus susceptible de déclencher d’éventuelles mesures anti-DDoS automatiques (si elles existent).

Attention enfin : bien qu’un correctif devrait être disponible d’ici 96 heures, il ne concernera que les versions 2.0 et 2.2 d’Apache. La version 1.3, pourtant toujours très populaire, ne semble pas devoir être prise en compte.