Vendredi dernier, un script perl répondant au doux nom de KillApache a fait son apparition sur la mailing list Full Disclosure. Ce script utilise une faille présente dans le serveur web Apache 2.0, 2.2, et 1.3 qui a été détectée il y a 4 ans et demi mais jamais corrigée.

Cette faille permet de provoquer un déni de service (DoS). Les détails techniques sont expliqués ici mais grosso modo, le script balance des headers de type Range qui sont normalement utilisés lorsqu’un client souhaite télécharger de gros fichiers à partir du site. Comme ces fichiers sont trop gros pour tenir dans le corps d’une simple réponse, ils sont segmentés en plusieurs morceaux avant d’être envoyés au client. Quand ce nombre de demandes est trop important, le serveur commence à pédaler, ce qui provoque alors de sérieux ralentissements.

Les développeurs d’Apache ont annoncé qu’ils publierait un correctif pour Apache 2.0 et 2.2 dans les 48h mais pas pour Apache 1.3 qui n’est plus supporté.

Pour info, Apache est utilisé sur 65,2% des serveurs de cette planète. En attendant les mecs ont publié quelques recommandations qui vous permettront d’éviter les Ddos (ou au moins de limiter la casse).

[Source]

Reprenez le contrôle : Comment supprimer vos données personnelles d’Internet avec Incogni ?

🔒Votre vie privée est-elle vraiment privée❓

😮Vous l’ignorez peut-être, mais des sociétés appelées Data Brokers collectent, agrègent et monnaient vos données personnelles sans votre consentement.

📝Votre nom, votre prénom, votre date de naissance, 📧 votre email, 🏠 votre adresse postale, et bien d’autres informations sont ainsi collectés pour être revendus à des publicitaires. Il est donc temps de reprendre le contrôle de vos informations personnelles grâce à Incogni❗