Vendredi dernier, un script perl répondant au doux nom de KillApache a fait son apparition sur la mailing list Full Disclosure. Ce script utilise une faille présente dans le serveur web Apache 2.0, 2.2, et 1.3 qui a été détectée il y a 4 ans et demi mais jamais corrigée.
Cette faille permet de provoquer un déni de service (DoS). Les détails techniques sont expliqués ici mais grosso modo, le script balance des headers de type Range qui sont normalement utilisés lorsqu’un client souhaite télécharger de gros fichiers à partir du site. Comme ces fichiers sont trop gros pour tenir dans le corps d’une simple réponse, ils sont segmentés en plusieurs morceaux avant d’être envoyés au client. Quand ce nombre de demandes est trop important, le serveur commence à pédaler, ce qui provoque alors de sérieux ralentissements.
Les développeurs d’Apache ont annoncé qu’ils publierait un correctif pour Apache 2.0 et 2.2 dans les 48h mais pas pour Apache 1.3 qui n’est plus supporté.
Pour info, Apache est utilisé sur 65,2% des serveurs de cette planète. En attendant les mecs ont publié quelques recommandations qui vous permettront d’éviter les Ddos (ou au moins de limiter la casse).
[Source]