Ujawniona podatność w Apache umożliwia przeprowadzenie ataku typu Denial of Service

Ujawniona została podatność w serwerze Apache, która umożliwia przeprowadzenia ataku typu Denial of Service.

Atak może zostać przeprowadzony zdalnie za pomocą wysyłania dużej ilości żądań HTTP GET do serwera www z ustawionym w różnym zakresie polem typu "byte ranges", co powoduje użycie większej ilości pamięci i mocy procesora i w konsekwencji prowadzi do spowolnienia lub zablokowania pracy serwera www. Pole "byte range" przeznaczone jest do określania w HTTP zakresu pliku (dokumentu), który chcemy pobrać z serwera i wykorzystywane jest m.in. w downloaderach do wznawiania pobierania części plików.

Ujawniona podatność według informacji zamieszczonych na stronie http://article.gmane.org/gmane.comp.apache.announce/58 była już wykorzystywana do ataków na serwery.
W chwili obecnej nie została opublikowana żadna poprawka dla Apache, która weliminowałaby ten problem.
Wspomniana podatność przede wszystkim dotyczy serwerów Apache z ustawieniami domyślnymi.

W celu minimalizacji ryzyka zaleca się administratorom serwerów Apache m.in.:

  • użycie "SetEnvIf" albo "mod_rewrite" w celu wykrycia dużej liczby wywołań i zignorowania innego zakresu "byte ranges" albo odrzucenia żądania HTTP;
  • określenie z góry limitu w polu "byte range" do kilkuset bajtów;
  • użycie modułu "mod_headers" w celu uniemożliwienia użycia parametru "byte ranges" w ogóle;

The Apache Group Foundation zapowiedziało opublikowanie niezwłocznie nowego patch-a.

CERT.GOV.PL zaleca zapoznanie się z oficjalną publikacją nr CVE-2011-3192 dotyczącą podatności i zastosownie możliwych rozwiązań konfiguracji serwera Apache w celu minimalizacji ryzyka.

Źródło:
http://thread.gmane.org/gmane.comp.apache.announce/58

Ocena: 1.6/5 (7)
A
A+
A++
Drukuj
PDF