Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Apache gyilkolás

2011.08.29. 11:57 | buherator | 4 komment

Tíz napja jelent meg a FD listán egy üzenet, melyben egy HI-TECH nevű felhasználó Kingcope egy Apache webszerverek megbénítására alkalmas szkriptet tett közzé. A módszer lényege, hogy az egyes kérésekben nagy számú Range fejlécet adunk meg, melyek átfedő részekre hivatkoznak a kiszolgálandó dokumentumban. A HTTP/1.1 RFC-t megvalósító webkiszolgálóknak az összes ilyen részt vissza kell adniuk a kliens által meghatározott sorrendben, ami egy erőforrásigényes művelet, a támadó pedig könnyű szerrel megadhat egyszerre akár több száz, közel a teljes dokumentumra hivatkozó tartományt. 

Az Apache esetében a helyzetet tovább rontotta, hogy a válaszba kerülő adatokat pazarló módon tárolták a memóriában. Ennek orvoslására már készül a patch, de a probléma gyökerét egy ilyen változtatás nem szűnteti meg. Az átfedő Range-ek problémája (ami már 2007-ben felmerült) más kiszolgálókat is érinthet, de védekezni csak az RFC be nem tartásával lehet. Így most az IETF elé került egy javaslat, amely megtiltaná az átfedő vagy túl közeli tartományok lekérdezését, illetve lehetőséget adna a kiszolgálóknak a lekérdezések optimalizálására vagy visszautasítására.

A problémát már aktívan kihasználják rosszindulatú támadók. Bár a hírek szerint a terheléselosztók vagy ezekkel rokon hálózati eszközök mögé bújtatott rendszerekre nem hat a támadás, érdemes alkalmazni az Apache által javasolt elkerülő megoldások (illetve ezek javított változatainak...) valamelyikét

Friss:

Megjelent az Apache 2.2.20, ami javítja a memóriakezelést. Ez a változat egyszerűen visszaadja a teljes dokumentumot, ha a Range-ek összhossza meghaladja a dokumentum méretét.

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hunger 2011.08.31. 14:35:27

"melyben egy HI-TECH nevű felhasználó"

Ez a felhasználó konkrétan a Kingcope :)

buherator · http://buhera.blog.hu 2011.08.31. 22:52:22

@Hunger: Nem voltam magamnál, javítva. Az egyébként senkinek nem tűnt fel, hogy az első mondatnak nem volt értelme?

Hunger 2011.08.31. 23:20:25

@buherator: más se volt magánál :D

Egyébként végülis értelmezhető úgy, hogy egy HI-TECH nevű googlemail felhasználó... :)