Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Sårbarhet, Apache

SR11-177 Apache - DoS-sårbarhet i HTTP-server

En tillgänglighetsattack är möjlig mot Apaches webbserver. Uppdateringar är på gång.

Problembeskrivning

CVE-referens: CVE-2011-3192

En extern angripare kan få Apaches HTTP-server att krascha genom att skicka riggade HTTP-anrop. Ett skadligt anrop består av en stor "Range"-header för en fil med hög entropi kombinerat med gzip-kompression (mod_deflate). Webbservern kommer då allokera stora mängder minne, vilket kan leda till att webbservern och även servern kraschar.

För närvarande finns ingen rättning som åtgärdar säkerhetsbristen. Apache arbetar med en uppdatering som förväntas släppas inom de närmsta dagarna.

Det finns indikationer att sårbarheten utnyttjas aktivt. Exempelkod som visar hur sårbarheten kan utnyttjas finns publicerat på internet.

Följande kan göras för att skydda en sårbar webbserver:

  • Använd ModSecurity för att blocka skadliga HTTP-anrop med "range"-header. Mer information:
    http://blog.spiderlabs.com/2011/08/mitigation-of-apache-range-header-dos-attack.html
  • Använd mod_headers för att blocka skadliga HTTP-anrop med "range"-header.
  • Använd mod_rewrite för att begränsa antalet "ranges".
  • Begränsa storleken för "header"-fältet med hjälp av "LimitRequestFieldSize".
  • Installera temporära patchar.

Ovanstående förslag samt några till finns beskrivna på "apache-httpd-dev"-listan:

http://marc.info/?l=apache-httpd-dev&m=131418828705324&w=2

Michal Zalewski upptäckte säkerhetsbristen redan 2007, men det är först nu då Kingcope släppt exempelkod som sårbarheten har aktualiserats på nytt.


Uppdatering 2011-08-25 15:05

Apache har släppt en bulletin:

http://permalink.gmane.org/gmane.comp.security.full-disclosure/81216

Påverkade versioner

  • Apache HTTP Server 2.2.17. Troligen är alla versioner drabbade men sårbarheten är endast verifierad i denna version.

Mer information och programrättningar

https://issues.apache.org/bugzilla/show_bug.cgi?id=51714

http://www.securityfocus.com/bid/49303

http://secunia.com/advisories/45606/

http://securitytracker.com/id/1025960

http://seclists.org/bugtraq/2007/Jan/83

https://threatpost.com/en_us/blogs/apache-dos-bug-resurfaces-spurring-new-attacks-082411