Règle de détection Prelude pour les fuites d’informations d’Apache (OptionsBleed)

Le 18 septembre 2017, le journaliste Hanno Böck a découvert une nouvelle vulnérabilité dans le serveur HTTP de la Fondation Apache. Elle impacte la version actuelle (2.4) ainsi que la précédente version (2.2) d’Apache.

 

If you’re using the HTTP protocol in everday Internet use you are usually only using two of its methods: GET and POST. However HTTP has a number of other methods, so I wondered what you can do with them and if there are any vulnerabilities.
One HTTP method is called OPTIONS. It simply allows asking a server which other HTTP methods it supports. The server answers with the « Allow » header and gives us a comma separated list of supported methods.
A scan of the Alexa Top 1 Million revealed something strange: Plenty of servers sent out an « Allow » header with what looked like corrupted data.
[…]

Source: https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html

 

Pour détecter un attaquant tentant de récupérer de l’information en utilisant cette vulnérabilité, l’équipe Prelude a développé ces deux règles qui doivent être utilisées conjointement :