Tíz napja jelent meg a FD listán egy üzenet, melyben egy HI-TECH nevű felhasználó Kingcope egy Apache webszerverek megbénítására alkalmas szkriptet tett közzé. A módszer lényege, hogy az egyes kérésekben nagy számú Range fejlécet adunk meg, melyek átfedő részekre hivatkoznak a kiszolgálandó dokumentumban. A HTTP/1.1 RFC-t megvalósító webkiszolgálóknak az összes ilyen részt vissza kell adniuk a kliens által meghatározott sorrendben, ami egy erőforrásigényes művelet, a támadó pedig könnyű szerrel megadhat egyszerre akár több száz, közel a teljes dokumentumra hivatkozó tartományt. 

Az Apache esetében a helyzetet tovább rontotta, hogy a válaszba kerülő adatokat pazarló módon tárolták a memóriában. Ennek orvoslására már készül a patch, de a probléma gyökerét egy ilyen változtatás nem szűnteti meg. Az átfedő Range-ek problémája (ami már 2007-ben felmerült) más kiszolgálókat is érinthet, de védekezni csak az RFC be nem tartásával lehet. Így most az IETF elé került egy javaslat, amely megtiltaná az átfedő vagy túl közeli tartományok lekérdezését, illetve lehetőséget adna a kiszolgálóknak a lekérdezések optimalizálására vagy visszautasítására.

A problémát már aktívan kihasználják rosszindulatú támadók. Bár a hírek szerint a terheléselosztók vagy ezekkel rokon hálózati eszközök mögé bújtatott rendszerekre nem hat a támadás, érdemes alkalmazni az Apache által javasolt elkerülő megoldások (illetve ezek javított változatainak...) valamelyikét

Friss:

Megjelent az Apache 2.2.20, ami javítja a memóriakezelést. Ez a változat egyszerűen visszaadja a teljes dokumentumot, ha a Range-ek összhossza meghaladja a dokumentum méretét.