Tool legt Apache2 mit Range-Bug lahm

Dark-Spirit · 25. August 2011

Apache2 Remote Denial of Service (memory exhaustion)

Ein bislang unbekannter Fehler in der Verarbeitung von Byte-Range-Headern lässt sich ausnutzen, um mit einem einzigen PC einen Apache-Webserver 2.2 zum Stillstand zu bringen. Auf der Mailing-Liste Full Disclosure ist dafür das Perl-Skript "Apache Killer" erschienen, das das Problem eindrucksvoll demonstriert.
Das Tool sendet GET-Requests mit mehreren "Byte Ranges", die zu einer sehr hohen Speicherbelegung des Systems führen. Die Angabe von "Bytes Ranges" ermöglichen dem Browser, etwa bestimmte Teile eines Dokuments nur teilweise zu laden, etwa die Bytes 500 bis 1000. Auf diese Weise knüpfen etwa auch Download-Clients an abgebrochene Downloads an. Das soll den Bandbreitenverbrauch verringern. Die Angabe mehrerer Teile im Header in unsortierter Folge bringen aber den Apache offenbar aus dem Tritt.

Einen offiziellen Patch gibt es noch nicht, als Workaround funktionieren jedoch Rewrite-Regeln, die nur noch einen einzigen Range-Requests in GET und HEAD-Headern erlauben. Für die meisten Anwendungen sollte das kein Problem sein. Um die Regeln zu aktivieren, müssen Administratoren das Modul mod_rewrite im Apache-Webserver laden.

Alternativ soll es auch helfen, über das Modul mod_header und die Konfiguration
RequestHeader unset Range im Header enthaltene Range-Requests komplett zu löschen. Vermutlich dürfte dies aber zu größeren Problem führen, als die Anzahl der Ranges zu beschränken. Admins sollten mit dem Tool die Wirksamkeit ihrer Maßnahmen prüfen, bevor es andere tun.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Quelle: http://www.heise.de/newsticker/meldung/Tool-bringt-Apache-Webserver-zum-Stillstand-1329986.html

Da werden sich so manche Admins drüber freuen, die den Apache nutzen. Da mit dem Script doch recht viele Scriptkiddies Schaden anrichten können.
Bin mal gespannt wann es erste offizielle Fixes gibt.

Anzeige

raid-rush · 25. August 2011

AW: Tool bringt Apache-Webserver zum Stillstand

Einfachstes Workaround über die apache-config default:

<Directory />
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC]
RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(\s*,\s*[0-9]*-[0-9]*)+
RewriteRule .* - [F]
</Directory>

Dark-Spirit · 25. August 2011

AW: Tool legt Apache2 mit Range-Bug lahm

Oder einfach keinen Apachen sondern ne Alternative wie nginx nutzen
Und viele Admins werden von dem Bug nich erfahren und demzufolge auch nicht den Workaround nutzen....

Nützliche Suchen

Tool legt Apache2 mit Range-Bug lahm

Videos zum Themenbereich