Найден способ обхода методов защиты от DoS-уязвимости в HTTP-сервере Apache

26.08.2011 20:26

Разработчики проекта Apache опубликовали новое уведомление, в котором указали на то, что эксплуатируемая через заголовок Range уязвимость проявляется также и для устаревшего заголовка 'Request-Range', поддержка которого оставлена для обеспечения совместимости с Netscape Navigator 2-3 и MSIE 3.

В связи с этим ранее приведенные методы защиты неэффективны. В дополнение к ним следует добавить в конфигурацию Apache директиву "RequestHeader unset Request-Range" для блокирования работы заголовка Request-Range. Обновление с исправлением уязвимости пока не выпущено, но в SVN-репозиторий уже добавлен патч.

Новые улучшенные правила блокировки атаки (по сравнению с прошлым вариантом увеличена производительность и учтены новые типы проведения атаки):



Для Apache 2.2:

          SetEnvIf Range (?:,.*?){5,5} bad-range=1
          RequestHeader unset Range env=bad-range
          RequestHeader unset Request-Range
          CustomLog logs/range-CVE-2011-3192.log common env=bad-range

Для Apache 2.x и 1.3:

          RewriteEngine on
          RewriteCond %{HTTP:range} !(bytes=[^,]+(,[^,]+){0,4}$|^$)
          RewriteRule .* - [F]
          RequestHeader unset Request-Range

исправить +1 +/–

Главная ссылка к новости (http://mail-archives.apache.or...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/31602-apache

Ключевые слова: apache, web, security, dos

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (13)

1.1, Аноним (-), 20:57, 26/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+14 +/–
>для обеспечения совместимости с Netscape Navigator 2-3 и MSIE 3. Вот это я понимаю обратная совместимость!

2.4, Аноним (-), 21:39, 26/08/2011 [^] [^^] [^^^] [ответить]	+4 +/–
Вот это я понимаю, неожиданная ж--а про которую все забыли :)

2.7, Аноним (-), 22:22, 26/08/2011 [^] [^^] [^^^] [ответить]	+2 +/–
Я бы даже сказал обратнейшая :)

1.2, Аноним (-), 21:13, 26/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
ОМГ, вот это действительно самая настоящая некрофилия.

1.3, Аноним (-), 21:37, 26/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
В интернете пахло массовым pwnage'м древних опачей :)

1.5, Аноним (-), 22:20, 26/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Патч в SVN это круто, но когда будет релиз?

1.6, бобик (?), 22:21, 26/08/2011 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

Для дебианщиков:

сюда лучше добавлять

/etc/apache2/conf.d/security

1.8, umbr (ok), 22:48, 26/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Запасаемся попкорном и ждём третьего уведомления :)

2.9, Аноним (-), 23:13, 26/08/2011 [^] [^^] [^^^] [ответить]

+1 +/–

> Запасаемся попкорном и ждём третьего уведомления :)

Запасаемся siege, ab2, запускаем и понимаем что горбатого могила исправит...

1.11, дядька (?), 13:47, 27/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
можно просто добавить: RewriteCond %{HTTP:request-range} !(^bytes=[^,]+(,[^,]+){0,4}$\|^$) RewriteRule .* - [F]

1.12, iCat (ok), 07:59, 28/08/2011 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Злопыхателям и похоронщикам просьба не беспокоиться: ещё неизвестно ЧТО может обнаружиться при аудите безопасности альтернатив Apache...

2.13, Аноним (-), 18:25, 28/08/2011 [^] [^^] [^^^] [ответить]	+/–
Пока не обнаружилось, так что лучше вам помалкивать. Алсо, альтернитивы апача хотя бы работают, когда апач тормозит.

3.14, Пронин (?), 04:04, 29/08/2011 [^] [^^] [^^^] [ответить]

+/–

> Пока не обнаружилось, так что лучше вам помалкивать. Алсо, альтернитивы апача хотя бы работают, когда апач тормозит.

Точно так же Apache работает там, где альтернативы "пасуют".
Не бывает "универсальных" инструментов. Для разных задач - и инструменты разные.
Как бы там ни было - Apache работает.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: