2011-08-25 // Ferien + Apache Bug = Evil
Auf de Apache Mailingliste wurde gestern vor einem Fehler in allen aktuellen Apache Webserver Versionen (1.3.x und 2.x) gewarnt. Der Fehler beruht auf einer fehlerhaften Behandlung des Range-Header in einem HTTP-Request. So kann durch sehr geringen Aufwand eine sehr hohe Systemlast erzeugt werden, bis hin zum Stillstand des Systems.
Ein Bugfix soll in den nächsten 48 Stunden erscheinen. Bis dahin kann man als workaround den Range-Header via mod_header oder mod_rewrite deaktivieren. Dies verhindert u.a. die Möglichkeit, Downloads zu pausieren und erneut zu starten.
mod_rewrite workaround
# Reject request when more than 5 ranges in the Range: header. # CVE-2011-3192 # RewriteEngine on RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$) RewriteRule .* - [F]
Da aktuell noch Ferienzeit ist und bereits ein 1-Click-Tool für Skriptkiddies existiert, dürfte das Wochenende für so manchen Sysadmin kein Vergnügen werden.
Leave a comment…
- E-Mail address will not be published.
- Formatting:
//italic// __underlined__
**bold**''preformatted''
- Links:
[[http://example.com]]
[[http://example.com|Link Text]] - Quotation:
> This is a quote. Don't forget the space in front of the text: "> "
- Code:
<code>This is unspecific source code</code>
<code [lang]>This is specifc [lang] code</code>
<code php><?php echo 'example'; ?></code>
Available: html, css, javascript, bash, cpp, … - Lists:
Indent your text by two spaces and use a * for
each unordered list item or a - for ordered ones.