Règle de détection Prelude pour les fuites d’informations d’Apache (OptionsBleed)

Le 18 septembre 2017, le journaliste Hanno Böck a découvert une nouvelle vulnérabilité dans le serveur HTTP de la Fondation Apache. Elle impacte la version actuelle (2.4) ainsi que la précédente version (2.2) d’Apache.

If you’re using the HTTP protocol in everday Internet use you are usually only using two of its methods: GET and POST. However HTTP has a number of other methods, so I wondered what you can do with them and if there are any vulnerabilities.
One HTTP method is called OPTIONS. It simply allows asking a server which other HTTP methods it supports. The server answers with the “Allow” header and gives us a comma separated list of supported methods.
A scan of the Alexa Top 1 Million revealed something strange: Plenty of servers sent out an “Allow” header with what looked like corrupted data.
[…]

Source: https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html

Pour détecter un attaquant tentant de récupérer de l’information en utilisant cette vulnérabilité, l’équipe Prelude a développé ces deux règles qui doivent être utilisées conjointement :

Règle de détection
- https://www.prelude-siem.org/attachments/download/816/httpd-optionsbleed.rules
Règle de corrélation pour détecter une attaque en cours
- https://www.prelude-siem.org/attachments/download/817/OptionsBleed.py

Règle de détection Prelude pour les fuites d’informations d’Apache (OptionsBleed)

Vous devriez également aimer

Vigilo au POSS 2015

Vigilo au salon Solutions Linux 2014

Vigilo Entreprise 2013

Formation Prelude SIEM