Uno dei nostri clienti esegue la scansione del nostro sito e condivide la seguente vulnerabilità di qualità.
"Vulnerabilità di tipo Denial of Service della richiesta HTTP parziale di Apache - Zero Day"
Usiamo "Ubuntu 12.04.5 LTS" con Apache / 2.2.22. Abbiamo implementato molte opzioni, menzionate in questo url
Il suo CVE è CVE-2007-6750
Ma ogni scansione trova questa vulnerabilità.
Cosa dovremmo fare ora?
Questo è l'attacco loris lento di richieste HTTP GET incomplete.
Come proteggere il tuo server: Aggiorna il tuo server Apache, ci sono molti aggiornamenti per questo attacco, questo attacco è stato scoperto nel 2011 come. Altre opzioni sono per ridurre il timeout sul tuo server Apache, ecc. Questo attacco funziona al timeout. Qui ti spiega come proteggere Apache da DoS / DDoS (loris lenti inclusi) su Linux (fornisce aggiornamenti, mostra le impostazioni da modificare).
Qual è il loris lento? Il loris lento è un layer 7 Denial of Server (DoS, può essere eseguito con 1 computer) che è ampiamente utilizzato sui server Apache e altro, perché questi server se non aggiornato ha questo "bug".
Come funziona il loris lento? Il loris lento viene eseguito da una connessione TCP e quindi una richiesta GET HTTP incompleta viene inviata al server. Il server quindi non interrompe questa connessione per lunghi periodi di tempo fino a 400 secondi. Il server (come i server Apache) fa questo perché l'idea è, pensa che tu sia su una rete non fidata, o semplicemente rallenti internet e attenda il resto della richiesta HTTP GET.
Ulteriori informazioni: Questo è un DoS HTTP non un DoS TCP perché la richiesta è ciò che sta causando questo. Un attacco lento da loris può funzionare con l'invio di 1 pacchetto al secondo per ogni nuova connessione.
Esempi di come appare questa richiesta:
GET / HTTP/1.1\r\nHost: www.whatever.com\r\nUser-Agent: Mozilla 5.0\r\n
o
GET / HTTP/1.1\r\nHost: www.whatever.com\r\nUser-Agent: Mozilla 5.0
Esempio di normale richiesta HTTP GET:
GET / HTTP/1.1\r\nHost: www.whatever.com\r\nUser-Agent: Mozilla 5.0\r\n\r\n