Zagrożenia i podatności
Ujawniona podatność w Apache umożliwia przeprowadzenie ataku typu Denial of Service
Ujawniona została podatność w serwerze Apache, która umożliwia przeprowadzenia ataku typu Denial of Service.
Atak może zostać przeprowadzony zdalnie za pomocą wysyłania dużej ilości żądań HTTP GET do serwera www z ustawionym w różnym zakresie polem typu "byte ranges", co powoduje użycie większej ilości pamięci i mocy procesora i w konsekwencji prowadzi do spowolnienia lub zablokowania pracy serwera www. Pole "byte range" przeznaczone jest do określania w HTTP zakresu pliku (dokumentu), który chcemy pobrać z serwera i wykorzystywane jest m.in. w downloaderach do wznawiania pobierania części plików.
Ujawniona podatność według informacji zamieszczonych na stronie http://article.gmane.org/gmane.comp.apache.announce/58 była już wykorzystywana do ataków na serwery.
W chwili obecnej nie została opublikowana żadna poprawka dla Apache, która weliminowałaby ten problem.
Wspomniana podatność przede wszystkim dotyczy serwerów Apache z ustawieniami domyślnymi.
W celu minimalizacji ryzyka zaleca się administratorom serwerów Apache m.in.:
- użycie "SetEnvIf" albo "mod_rewrite" w celu wykrycia dużej liczby wywołań i zignorowania innego zakresu "byte ranges" albo odrzucenia żądania HTTP;
- określenie z góry limitu w polu "byte range" do kilkuset bajtów;
- użycie modułu "mod_headers" w celu uniemożliwienia użycia parametru "byte ranges" w ogóle;
The Apache Group Foundation zapowiedziało opublikowanie niezwłocznie nowego patch-a.
CERT.GOV.PL zaleca zapoznanie się z oficjalną publikacją nr CVE-2011-3192 dotyczącą podatności i zastosownie możliwych rozwiązań konfiguracji serwera Apache w celu minimalizacji ryzyka.
Źródło:
http://thread.gmane.org/gmane.comp.apache.announce/58
