[Note : retrouvez notre article complet au sujet de Slowloris, "l'attaque du paresseux", pour un point sur la menace et les techniques de défense proposées]

En fin de semaine dernière un outil permettant de commettre une attaque de type « déni de service » (DOS) a été rendu public. Il cible particulièrement les serveurs Web Apache, mais le proxy Libre Squid est également vulnérable (maj du 22/06 @ 15:31 GMT+2). Ecrit initialement en Perl, une implémentation en Python a rapidement vu le jour (maj du 22/06 @ 15:15 GMT+2).

Contrairement aux autres outils du même type, une bande passant conséquente n’est absolument pas nécessaire pour mener à bien l'opération puisque la faille exploitée réside dans l’incapacité d’Apache à gérer des connections HTTP incomplètes.

Baptisé « Slowloris », le script d'attaque génère une multitude de requêtes HTTP incomplètes qui mobilisent au bout de quelques minutes la totalité des sockets offerts par le serveur web. Il en résulte un effondrement d’Apache rendant le serveur web inopérant. De l'aveu même de son auteur, une attaque similaire avait été décrite en 2007 sur SecurityFocus, et même ébauchée avant cela en 2005. Mais Slowloris automatise aujourd'hui l'attaque (maj du 22/06 @ 15:45 GMT+2).

Il n’existe pour l’heure aucun correctif.

Il est toujours possible de modifier la directive Apache « MaxClients » afin de limiter l’attaque mais ce n’est absolument pas une solution viable à terme. Nous vous tiendrons informé dès que nous aurons de plus amples informations.

A noter un développement intéressant : Selon un post de son auteur, Slowloris pourrait être utilisé pour paralyser un site web tout en y laissant un accès exclusif au pirate.

Le script (Perl) est disponible est disponible sur le site milw0rm afin de tester vos infrastructures (maj du 22/06 @ 15:35 GMT+2).

N'hésitez pas à partager votre expérience si vous avez une solution pour remédier à cette faille.