Nieuws
image

Apache Killer bedreigt duizenden webservers

donderdag 25 augustus 2011, 09:10 door Redactie, 12 reacties

Apache heeft beheerders van webservers gewaarschuwd voor een nieuw programma waarmee een enkele pc een Apache webserver kan platleggen. Het programma 'Apache Killer' werd onlangs op de Full-disclosure mailinglist gezet en misbruikt een beveiligingslek in de webserversoftware. Volgens Apache wordt het probleem veroorzaakt door de manier waarop de Apache HTTPD server verschillende "overlapping ranges" verwerkt.

"De aanval is op afstand uit te voeren en kan via een beperkt aantal verzoeken het geheugen en de processor ernstig belasten", aldus een advisory van Apache, dat verder laat weten dat de standaard installatie kwetsbaar is en aanvallers het programma actief misbruiken. De ontwikkelaar meldt dat er vandaag of morgen een update zal verschijnen. Tot die tijd kunnen systeembeheerders deze aanbevelingen opvolgen. Inmiddels is er ook een onofficiële 'workaround', maar die zou mogelijk voor meer problemen kunnen zorgen.

Het probleem speelt in alle Apache 1.3 versies en alle Apache 2 versies. Voor Apache 1.3 zal echter geen update meer verschijnen, aangezien deze versie niet meer ondersteund wordt. Als laatste krijgen systeembeheerders het advies om hun eigen servers via de tool te testen, voordat iemand anders dat voor hen doet.

Reacties (12)
25-08-2011, 09:32 door Mojah
> Inmiddels is er ook een onofficiële 'workaround', maar die zou mogelijk voor meer problemen kunnen zorgen.

Goh, zou enkel wat moeilijk doen met WebDav systemen. Voor 95% van de sites is dat dus een goede workaround, enkel onhandig dat je het per virtualhost moet doen en het niet systeem-wide kan.
25-08-2011, 09:44 door Anoniem
Apache Killer bedreigt duizenden webservers.
Het probleem speelt in alle Apache 1.3 versies en alle Apache 2 versies.

Iets zegt mij dat "duizenden" een sterk understatement is...
25-08-2011, 12:02 door Anoniem
Door Mojah: > Inmiddels is er ook een onofficiële 'workaround', maar die zou mogelijk voor meer problemen kunnen zorgen.

Goh, zou enkel wat moeilijk doen met WebDav systemen. Voor 95% van de sites is dat dus een goede workaround, enkel onhandig dat je het per virtualhost moet doen en het niet systeem-wide kan.
Sorry, ik snap deze reactie niet.

Illja. \\//
25-08-2011, 12:55 door Anoniem
Kan je gewoon systeem-wide instellen zonder problemen.

Uit bericht van maillist.

1) Use SetEnvIf or mod_rewrite to detect a large number of ranges and then
either ignore the Range: header or reject the request.

Option 1: (Apache 2.0 and 2.2)

# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range
Option 2: (Also for Apache 1.3)

# Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]


Eerste oplossing kan gewoon direct in apache2.conf zonder problemen.
25-08-2011, 13:32 door DarkViewOfTheWorld
Dit lijkt sterk op de claims die lulzsec of anonymous maakte een paar weken geleden, over dat ze een client hadden die apache webservers zonder grote problemen kon 'platleggen' met een paar simpele query's ...


Looking forward to new developments in the story.
25-08-2011, 14:16 door Anoniem
Ach enige risico is dat straks alleen nog websites in de lucht zijn die op IIS draaien..
25-08-2011, 14:47 door Anoniem
Ik heb hier vaak gehoord dat open source veel veiliger is. Hoe zit dat nu? Je hebt nu een probleem er komt misschien een patch maar wanneer en hoe. Allemaal onbekend. Komt er wel een patch?
Is allemaal een verrassing als je met open source werkt. Of moet ik mijn eigen patch maken omdat het open source is.

En als er een patch is, is die dan goed getest? Of heeft mijn buurman hem inelkaar gefrummeld en gelancheerd.
25-08-2011, 16:48 door Anoniem
Ik heb het script zojuist getest en inderdaad quad core cpu volledig 100% belast. Op een 4GB mem systeem valt het geheugen gebruik mee. Blijft rond de 2GB hangen. Op een ander systeem met 2GB begint de server inderdaad als een gek te swappen. Het lijkt er ook op dat deze al zijn swap space zou gaan gebruiken.
Serieus probleem dus.

Barry
26-08-2011, 11:18 door Ed Dekker
Door Anoniem: Ik heb hier vaak gehoord dat open source veel veiliger is. Hoe zit dat nu? Je hebt nu een probleem er komt misschien een patch maar wanneer en hoe. Allemaal onbekend. Komt er wel een patch?
Is allemaal een verrassing als je met open source werkt. Of moet ik mijn eigen patch maken omdat het open source is.

En als er een patch is, is die dan goed getest? Of heeft mijn buurman hem inelkaar gefrummeld en gelancheerd.
Stel dezelfde vragen voor een commercieel pakket en je zit met dezelfde vraagtekens.
Het enige dat je zeker weet is wie er verantwoordelijk is voor de troep die ontstaat. Oh nee, toch niet, bijna de gebruiksovereenkomst vergeten die zegt dat de leverancier niet verantwoordelijk is, maar dat jij wel betaald moet hebben.

Bij een grote club als Apache is het patch- en onderhoudproces behoorlijk professioneel geregeld. Wanneer je gebruik maakt van wat daar uit komt, zit je net zo goed als bij een commerciele leverancier. En net als die $$ moet je ook bij open source wel eens even wachten, hoe dringend de patch ook nodig is.
28-08-2011, 13:31 door spatieman
kan dus mij liggen.
maar dan moet je die file dus wel op een betreffende webserver zien te krijgen,IMHO...
28-08-2011, 15:25 door spatieman
nvr mind....
30-08-2011, 10:48 door Anoniem
Ligt het aan mij of heeft Apache de aangegeven 48 uur voor de patch nog niet opgeleverd?
Ik zit hier met spanning op een patch te wachten van de grote distributie boeren..de mitigation is geen oplossing voor al onze servers vandaar dat ik graag de officiele linux distro patch er op wil knallen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure