quands.cat: Una Noticia per Dia (17-06-02): Vulnerabilitat a Apache

Última Modificació del Document
11 de juliol de 2002

Una per Dia - Tornar a l'índex
Versió en català de "Una al día" d'Hispasec

17 de juny de 2002 - Vulnerabilitat a Apache

Actualització 11-07-02

Està circulant un cuc, extremadament complex, que ataca
als servidors web basats en Apache, a la plataforma FreeBSD,
que encara no han estat actualitzats.

Butlletí amb els detalls

Actualització 19-06-02

Ja estan disponibles les actualitzacions d'Apache:

Apache 1.3.26:
http://www.apache.org/dist/httpd/apache_1.3.26.tar.gz

Apache 2.0.39:
http://www.apache.org/dist/httpd/httpd-2.0.39.tar.gz

Totes les versions del servidor web Apache estan afectades per una vulnerabilitat a les funcions encarregades del processament de les peticions errònies codificades de forma trossejada. Es tracta d'una vulnerabilitat explotable de forma remota.

Les versions d'Apache fins a la 1.3.24 (inclosa) i fins a la 2.0.36 (inclosa) tenen un problema a les funcions de processament de les peticions errònies rebudes que estan codificades de forma trossejada ("chunked encoding").

Quan un atacant remot envia una sèrie de peticions codificades d'una forma especial, la vulnerabilitat pot provocar la finalització del procés fill que està processant la petició. Per tant, l'atacant pot provocar una condició de denegació de servei.

A més, a les versions 1.x d'Apache es produeix un desbordament de memòria intermèdia. A les plataformes Unix de 32-bit, aquest desbordament originarà una violació de segmentació i el procés finalitzarà. A les plataformes de 64-bit, per contra, aquest desbordament pot arribar a ser controlat per l'atacant per tal de forçar l'execució de codi. Pel que fa a la plataforma Windows, ja s'ha verificat la possibilitat d'executar codi arbitrari al servidor.

Les versions 2.x d'Apache detecten de forma correcta la situació d'error, de forma que no és possible que l'atacant executi codi al servidor.

Aquesta vulnerabilitat ha estat reportada inicialment per ISS que ha facilitat un pegat del codi font d'Apache. No obstant, segons informen des del projecte Apache, el pegat proposat per ISS no soluciona la vulnerabilitat.

S'espera que en les properes hores estiguin disponibles versions actualitzades d'Apache 1.3 i 2.0 que eliminin aquesta vulnerabilitat. Aprofitem per recordar que molts altres productes (IBM WebSphere, Oracle 9ias...) inclouen servidors web basats en Apache que són, igualment, vulnerables a aquest problema.

Més informació

Apache Security Advisory (June 17, 2002)
http://httpd.apache.org/info/security_bulletin_20020617.txt

Remote Compromise Vulnerability in Apache HTTP Server
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20502

Vulnerabilitat a Apache
http://www.quands.cat/alertes/html/apache020617.html

CERT® Advisory CA-2002-17
Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html

Xavier Caballé
xcaballe@quands.com

Contacte: info@quands.com