heiko-barth.de

// Ferien + Apache Bug = Evil

Auf de Apache Mailingliste wurde gestern vor einem Fehler in allen aktuellen Apache Webserver Versionen (1.3.x und 2.x) gewarnt. Der Fehler beruht auf einer fehlerhaften Behandlung des Range-Header in einem HTTP-Request. So kann durch sehr geringen Aufwand eine sehr hohe Systemlast erzeugt werden, bis hin zum Stillstand des Systems.

Ein Bugfix soll in den nächsten 48 Stunden erscheinen. Bis dahin kann man als workaround den Range-Header via mod_header oder mod_rewrite deaktivieren. Dies verhindert u.a. die Möglichkeit, Downloads zu pausieren und erneut zu starten.

mod_rewrite workaround

# Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

Da aktuell noch Ferienzeit ist und bereits ein 1-Click-Tool für Skriptkiddies existiert, dürfte das Wochenende für so manchen Sysadmin kein Vergnügen werden. :-\

Leave a comment…



  _   __   ____   ___    ____   ___    ___    ____
 | | / /  / __/  / _ )  /  _/  / _ \  / _ \  / __/
 | |/ /  _\ \   / _  | _/ /   / ___/ / // / / _/  
 |___/  /___/  /____/ /___/  /_/    /____/ /___/
  • E-Mail address will not be published.
  • Formatting:
    //italic//  __underlined__
    **bold**  ''preformatted''
  • Links:
    [[http://example.com]]
    [[http://example.com|Link Text]]
  • Quotation:
    > This is a quote. Don't forget the space in front of the text: "> "
  • Code:
    <code>This is unspecific source code</code>
    <code [lang]>This is specifc [lang] code</code>
    <code php><?php echo 'example'; ?></code>
    Available: html, css, javascript, bash, cpp, …
  • Lists:
    Indent your text by two spaces and use a * for
    each unordered list item or a - for ordered ones.
Web 2.0



RSS   RSS abonieren

Github   Github
QR Code