Простая DoS уязвимость на серверах Apache
Эксплойт, появившийся в списке рассылки Full Security, позволяет потенциальным атакующим с лёгкостью провести удалённую DoS-атаку против веб-серверов Apache.
🕛 27.08.2011, 03:36
В отличие от DDoS-атаки, полагающейся на число участвующих в атаке компьютеров, указанная атака, используя уязвимость, достигает того же при помощи только одного компьютера. Проблема также заключается в том, что для восстановления после такой атаки, в некоторых случаях все атакованные компьютеры должны быть перезагружены, что повлияет на работу и других сервисов.Эксплойт написан на Perl и назван соответствующим образом - "Apache Killer". В данный момент официального патча для закрытия уязвимости пока не выпущено, однако уже предложены приёмы для обхода уязвимости.
Один из подходов требует наличия mod_rewrite и заключается в использовании только одиночных диапазонов в запросах GET и HEAD. Это не должно негативно повлиять на большинство приложений. SetEnvIf или mod_rewrite также могут быть использованы для обнаружения большого количества диапазонов и игнорирования заголовка Range или отброса запроса целиком. Ещё один вариант защиты от уязвимости заключается в ограничении поля запроса несколькими сотнями байтов, хотя такой подход может испортить некоторые заголовки, требующие длинных строк - например, те, что несут в себе куки или маркеры доступа. Модуль mod_headers может быть использован для запрета использования заголовка Range полностью, однако в некоторых ситуациях это неприменимо.
"Пользователям Apache HTTPD, беспокоящимся о DoS-атаке на свой сервер, следует незамедлительно рассмотреть возможность реализации одного из вышеперечисленных способов", - советуют разработчики Apache, обещая выпустить патч в течение 48 часов.