Abo
  • Services:
Anzeige
Exploit bei Full-Disclosure veröffentlicht
Exploit bei Full-Disclosure veröffentlicht (Bild: Apache)

0-Day-Exploit

"Apache Killer" friert Webserver ein

Exploit bei Full-Disclosure veröffentlicht
Exploit bei Full-Disclosure veröffentlicht (Bild: Apache)

Aktuelle Versionen des weit verbreiteten Apache-Webservers können durch Fehler in der Behandlung von Byte-Range-Requests missbraucht werden, um den gesamten Server innerhalb weniger Sekunden zum Stillstand zu bringen.

Der in Perl geschriebene Proof-of-Concept "Apache Killer" wurde bereits auf Full Disclosure veröffentlicht. Das Script baut mehrere HTTP-Verbindungen zu einem Zielsystem auf und sendet HEAD-Anfragen mit einem 1300 Intervalle umfassenden Byte-Ranges-Header:

Anzeige

HEAD / HTTP/1.1
Host: ziel.host.tld
Range:bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5 [...] 5-1297,5-1298,5-1299

Byte Ranges werden im Standard-HTTP 1.1 verwendet, um Teile einer Datei, zum Beispiel zum Fortsetzen eines abgebrochenen Downloads, ausliefern zu lassen. Der Apache-Webserver verbraucht beim offenbar fehlerhaften Parsen der unüblich komplexen Byte-Range-Anfragen innerhalb kurzer Zeit große Teile des Arbeitsspeichers. In unserem Test konnten verschiedene Apache-Versionen auf aktuellen Ubuntu- und Debian-basierten Webservern in wenigen Sekunden zum Stillstand gebracht werden. Die betroffenen Systeme froren vollständig ein und waren auch per SSH nicht mehr ansprechbar.

Gegenmaßnahmen

Bis das Apache-Team offizielle Patches bereitstellt und diese von den Distributionen ausgeliefert werden, gibt es kaum Möglichkeiten, einem erfolgreichen Angriff vorzubeugen. Als Workaround wird das Filtern von mehrstufigen Byte-Range-Anfragen per mod_rewrite vorgeschlagen. Beim Zulassen nur weniger Byte Ranges sollten die meisten Webanwendungen weiterhin funktionieren.

Gravierender ist die komplette Filterung des Range-Headers durch das mod_header-Modul. Bei beiden Methoden muss im Einzelfall geprüft werden, welche Auswirkungen das auf die jeweilige Webseite hat. Insbesondere das Ausliefern größerer Dateien/Medien (Progressive Download) und WebDAV kann durch die Änderungen negativ beeinflusst werden.

Eine weitere Alternative ist das Vorschalten eines Reverse-Proxy-Servers, der entsprechende Anfragen direkt bedient oder filtert.

Die Apache-Entwickler warnen mittlerweile selbst vor dem Problem, das nach ihrer Erkenntnis bereits aktiv ausgenutzt wird. Eine neue, korrigierte Version des Apache-Webservers soll innerhalb von 48 Stunden veröffentlicht werden.

Nachtrag vom 24. August 2011, 21:15 Uhr

Im Skript wird ein HEAD-Request statt eines GET-Requests verwendet. Laut Mailinglisten ist Apache aber durch beide Requests gefährdet. Für einen Angriff ist HEAD die schnellere Variante, da weniger Daten vom Server zum Client gesendet werden.


eye home zur Startseite
satriani 26. Aug 2011

Nein nein... er wollte nicht das Projekt einstellen, sondern die Webseite. Weil die...

Bill Gates 25. Aug 2011

Das sieht Apache selbst aber anders: http://marc.info/?l=apache-httpd-announce&m...

Threat-Anzeiger 25. Aug 2011

wundert mich sowieso dass die Seite grade online ist, und noch keiner den Exploit dort am...

bratenesser 24. Aug 2011

OK, danke. :)


diegelernten blog / 25. Aug 2011



Anzeige

Stellenmarkt
  1. MAHLE Behr GmbH & Co. KG, Stuttgart
  2. IFS Deutschland GmbH & Co. KG, Erlangen
  3. T-Systems International GmbH, Leinfelden-Echterdingen
  4. imbus AG, Norderstedt, Köln, Hofheim am Taunus, München, Möhrendorf


Anzeige
Hardware-Angebote
  1. (Core i5-6600 + Geforce GTX 1070)
  2. 308,95€ (Bestpreis)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. International E-Sport Federation

    Alibaba steckt 150 Millionen US-Dollar in E-Sport

  2. Kartendienst

    Daimler-Entwickler Herrtwich übernimmt Auto-Bereich von Here

  3. Killerspiel-Debatte

    ProSieben Maxx stoppt Übertragungen von Counter-Strike

  4. Mehr Breitband für mich (MBfm)

    Telekom-FTTH kostet über 250.000 Euro

  5. Zuckerbergs Plan geht auf

    Facebook strotzt vor Kraft und Geld

  6. Headlander im Kurztest

    Galaktisches Abenteuer mit Köpfchen

  7. Industrie- und Handelskammern

    1&1 Versatel bekommt Großauftrag für Glasfaser

  8. Chakracore

    Javascript-Engine von Edge-Browser läuft auf OS X und Linux

  9. Kinderroboter Myon

    Einauge lernt, Einauge hat Körper

  10. Passwort Manager

    Lastpass behebt kritische Lücke



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elementary OS Loki im Test: Hübsch und einfach kann auch kompliziert sein
Elementary OS Loki im Test
Hübsch und einfach kann auch kompliziert sein
  1. Linux-Distribution Ubuntu diskutiert Ende der 32-Bit-Unterstützung
  2. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!
  3. Aquaris M10 Ubuntu Edition im Test Ubuntu versaut noch jedes Tablet

Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. NVM Express und U.2 Supermicro gibt SATA- und SAS-SSDs bald auf

  1. Re: jede firma, die noch im profisport...

    Rulf | 18:15

  2. Re: Ohne Angabe der zu verlegenden Länge ist der...

    dl01 | 18:15

  3. Re: Hat der Artikel irgendeinen Sinn?

    tritratrulala | 18:15

  4. Re: Komisch

    ckerazor | 18:13

  5. Re: Warum sollte die Telekom so einen...

    MarioWario | 18:11


  1. 17:23

  2. 15:58

  3. 15:42

  4. 15:31

  5. 14:42

  6. 14:00

  7. 12:37

  8. 12:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel