CVE-2011-3192 : Tester la sensibilité au déni de service Apache

Ce post accompagne la publication par Intrinsec d’un outil autonome visant à tester la sensibilité d’un serveur Apache à la vulnérabilité CVE-2011-3192, publiée sur Full-Disclosure le 20 Août 2011.

Le groupe Apache a publié une réponse, incluant des contres-mesures utiles en attendant la très prochaine publication d’un correctif pour Apache 1.3 et Apache 2.

D’autres articles évoquent déjà le sujet.

Si vous souhaitez tester simplement votre sensibilité, nous mettons à disposition un outil non offensif, effectuant un test unitaire (une requête HTTP par service) basé sur la même méthode de détection que l’outil publiée sur Full-Disclosure: L’outil est téléchargeable sur Google code.

Le script a été testé. Le test reste un test orienté déni de service, à utiliser en toute connaissance de cause et uniquement avec la légitimité nécessaire vis à vis du système testé.

Update: Apache a publié une mise à jour : v 2.2.20

———————
This tool allow to test quickly if an Apache server is prone to CVE-2011-3192 (Apache Range Header DOS)