Apache httpd vulnerabilities

Zespół Bezpieczeństwa PCSS ma przyjemność zakomunikować, iż w wyniku analizy kodu źródłowego serwera Apache httpd (ver 1.3.x. 2.x) zostało odnalezionych kilka podatności umożliwiających przeprowadzenie ataku typu DoS na usługi i system na którym uruchomiona jest aplikacja. Oto podstawowe informacje o znalezionych błędach:

Vuln #1
Httpd Server DoS
Środowisko testowe: ver 2.0.59, 2.2.4, prefork mpm module

Odpowiedni kod uruchomiony w kontekście worker process, umożliwia zabicie wszystkich worker procesow z jednoczesna blokadą tworzenia nowych procesów przez master proces. W następstwie tego działania serwer przestaje przyjmować i obsługiwać nowe połączenia.

Vuln #2
SIGUSR1 killer
Środowisko testowe: ver 2.0.59, 2.2.4 preform mpm module

Odpowiedni kod uruchomiony w kontekście worker process, umożliwia wysyłanie sygnałów SIGUSR1 przez master proces (proces działający z uprawnieniami roota) do dowolnego procesu w systemie. 

Vuln #3
SIGUSR1 killer 
Środowisko testowe: ver 1.3.37 

Odpowiedni kod uruchomiony w kontekście worker process, umożliwia wysyłanie sygnałów SIGUSR1 przez master proces (proces działający z uprawnieniami roota) do dowolnego procesu w systemie. 

Vuln #4
System DoS
Środowisko testowe: ver 2.0.59, 2.2.4 prefork mpm module 

Odpowiedni kod uruchomiony w kontekście worker process, umożliwia wymuszenie na master procesie utworzenie nieskończonej ilości nowych worker procesów. W następstwie tego działania możliwe jest zablokowanie pracy całego systemu.


Zabezpieczenie systemu:

Uniemożliwienie uruchomienia własnego kodu użytkownika w kontekście worker process. Należy zwrócić szczególną uwagę na języki programowania skonfigurowane jako moduł apache.a (np. mod_php, mod_perl etc.) i zablokowanie niebezpiecznych funkcji, np. dl, dlopen. 


Informacja o wyżej wymienionych błędach została przekazana fundacji Apache Software Fundation 16 maja 2006 roku. Przez przeszło 1 rok nie został wydany oficjalny patch na odnalezione błędy. Zespół bezpieczeństwa jest w trakcie opracowywania własnych nieoficjalnych patchy. Nasze nieoficjalne patche zostaną opublikowane 18.06.2007 na stronie zespołu (http://security.psnc.pl/). 

W dniu 20.06.2007 zostaną opublikowane szczegółowe informacje na temat odnalezionych błędów.

Zespół Bezpieczeństwa PCSS