Befoltozták az Apache sebezhetőségét
A vártnál tovább tartott az Apache szolgáltatásmegtagadásos támadásra lehetőséget adó sebezhetőségének foltozása, de a webszerver 2.2.20-as verziója tegnap óta elérhető és mindenkinél ajánlott a telepítése.
Tegnap megjelent az "Apache Killer" által kihasznált sebezhetőséget foltozó Apache 2.2.20 verzió, amely már nem érzékeny az aktívan kihasznált szolgáltatásmegtagadásos (DoS) támadásra. A problémát az okozta, hogy a HTTP lekérések túl sok memóriát foglaltak le és sok egyidejű lekérés indításával a szervert meg lehetett bénítani. Az Apache fejlesztői végre befoltozták a rést, csökkentették a lekérések által igényelt tárat és "egyszerűsítették azokat a lekéréseket amelyek túlságosan bonyolultak voltak."
"A módszer lényege, hogy az egyes kérésekben nagy számú Range fejlécet adunk meg, melyek átfedő részekre hivatkoznak a kiszolgálandó dokumentumban" - írja a Buhera blog. "A HTTP/1.1 RFC-t megvalósító webkiszolgálóknak az összes ilyen részt vissza kell adniuk a kliens által meghatározott sorrendben, ami egy erőforrásigényes művelet, a támadó pedig könnyű szerrel megadhat egyszerre akár több száz, közel a teljes dokumentumra hivatkozó tartományt." A módszerrel egy Apache webszerver olyan műveletekre kényszeríthető, amelyek elvégzése irreálisan sok erőforrást emészthet fel és válaszképtelenné tehető.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A fejlesztők azt is közölték, a probléma gyökere nem a szerverben, hanem magában a HTTP protokollban van és már 2007-ben is szóba került. Az Apache tájékoztatása szerint "a probléma valószínűleg minden webszervert érint és az Internet Engineering Task Force megvizsgálja a protokoll megváltoztatásának lehetőségét". A lehetséges megoldások között felmerült az átfedő vagy túl közeli tartományok lekérdezésének tiltása, valamint a kiszolgálók számára a lekérdezések optimalizálásának engedélyezése, végső esetben akár a lekérdezések visszautasítása.
Az Apache Software Foundation augusztus 24-én adott ki először tájékoztatást a frissítés érkezéséről, akkor még azt ígérte, 48 órán belül megérkezik, majd két nappal később további 24 óra haladékot kért. Hogy miért húzódott el a javítás kiadása, nem tudni. A hiba az Apache korábbi, 1.3-as verziójában is jelen van, az Apache Killer eszközzel az is támadható, de ehhez a verzióhoz már nem adott ki frissítést az Apache Software Foundation, mivel már nem támogatott.
Ha valaki valamilyen okból nem tudja vagy akarja frissíteni az Apache szerverét, rendelkezésre állnak elkerülő javítások is.