,,Apache Killer'' - zaradzenie problemowi

Thu 25 August 2011 by admin

Nie tak dawno został opublikowany skrypt w Perlu, którego okrzynięto tytułowym Apache Killerem. Otóż ta przypadłość popularnego serwera www wynika z nadużyć w nagłówku HTTP w polu Range, które jest wykorzystywane przez przeglądarki w celu m.in. dokończenia przerwanego transferu przez podanie zakresu bajtów wymaganych jeszcze do pobrania. Wspomniany skrypt generuje długi ciąg wartości, nakładających się co w ostateczności prowadzi do DoS'a. Sposoby walki z ,,killerem'' zaprezentowane są m.in.

http://article.gmane.org/gmane.comp.apache.announce/58

Dodatkowo, gdy posiadamy wiele maszyn za serwerem HAProxy, to możemy prościej wykluczyć takie nadużycia:

http://www.formilux.org/archives/haproxy/1108/4851.html

Odpowiedni dokument RFC 2616 zezwala na stosowanie wielu wartości w nagłówku Range, po przygodach z ,,killerem'' pojawiła się sugestia poprawki tego zapisku:

http://trac.tools.ietf.org/wg/httpbis/trac/ticket/311

UPDATE:

na okoliczność wspomnianej przypadłości (CVE-2011-3192) wydano oficjalną poprawkę

http://www.apache.org/dist/httpd/CHANGES_2.2.20


Comments