0-Day-Exploit

"Apache Killer" friert Webserver ein

Aktuelle Versionen des weit verbreiteten Apache-Webservers können durch Fehler in der Behandlung von Byte-Range-Requests missbraucht werden, um den gesamten Server innerhalb weniger Sekunden zum Stillstand zu bringen.

Anzeige

Der in Perl geschriebene Proof-of-Concept "Apache Killer" wurde bereits auf Full Disclosure veröffentlicht. Das Script baut mehrere HTTP-Verbindungen zu einem Zielsystem auf und sendet HEAD-Anfragen mit einem 1300 Intervalle umfassenden Byte-Ranges-Header:

HEAD / HTTP/1.1
Host: ziel.host.tld
Range:bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5 [...] 5-1297,5-1298,5-1299

Byte Ranges werden im Standard-HTTP 1.1 verwendet, um Teile einer Datei, zum Beispiel zum Fortsetzen eines abgebrochenen Downloads, ausliefern zu lassen. Der Apache-Webserver verbraucht beim offenbar fehlerhaften Parsen der unüblich komplexen Byte-Range-Anfragen innerhalb kurzer Zeit große Teile des Arbeitsspeichers. In unserem Test konnten verschiedene Apache-Versionen auf aktuellen Ubuntu- und Debian-basierten Webservern in wenigen Sekunden zum Stillstand gebracht werden. Die betroffenen Systeme froren vollständig ein und waren auch per SSH nicht mehr ansprechbar.

Gegenmaßnahmen

Bis das Apache-Team offizielle Patches bereitstellt und diese von den Distributionen ausgeliefert werden, gibt es kaum Möglichkeiten, einem erfolgreichen Angriff vorzubeugen. Als Workaround wird das Filtern von mehrstufigen Byte-Range-Anfragen per mod_rewrite vorgeschlagen. Beim Zulassen nur weniger Byte Ranges sollten die meisten Webanwendungen weiterhin funktionieren.

Gravierender ist die komplette Filterung des Range-Headers durch das mod_header-Modul. Bei beiden Methoden muss im Einzelfall geprüft werden, welche Auswirkungen das auf die jeweilige Webseite hat. Insbesondere das Ausliefern größerer Dateien/Medien (Progressive Download) und WebDAV kann durch die Änderungen negativ beeinflusst werden.

Eine weitere Alternative ist das Vorschalten eines Reverse-Proxy-Servers, der entsprechende Anfragen direkt bedient oder filtert.

Die Apache-Entwickler warnen mittlerweile selbst vor dem Problem, das nach ihrer Erkenntnis bereits aktiv ausgenutzt wird. Eine neue, korrigierte Version des Apache-Webservers soll innerhalb von 48 Stunden veröffentlicht werden.

Nachtrag vom 24. August 2011, 21:15 Uhr

Im Skript wird ein HEAD-Request statt eines GET-Requests verwendet. Laut Mailinglisten ist Apache aber durch beide Requests gefährdet. Für einen Angriff ist HEAD die schnellere Variante, da weniger Daten vom Server zum Client gesendet werden.

Kommentarübersicht
Re: Tja, typisch Apache...
satriani 26. Aug 2011

Nein nein... er wollte nicht das Projekt einstellen, sondern die Webseite. Weil die...

Re: Wow, verdammt :|
Bill Gates 25. Aug 2011

Das sieht Apache selbst aber anders: http://marc.info/?l=apache-httpd-announce&m...

Re: Was kann man bei so einer Funktion falsch machen?
Zeitvertreib 25. Aug 2011

+1.1

Die GEMA wird sich freuen xD
Threat-Anzeiger 25. Aug 2011

wundert mich sowieso dass die Seite grade online ist, und noch keiner den Exploit dort am...

Re: Gerade gestern ...
bratenesser 24. Aug 2011

OK, danke. :)

Kommentieren

Trackbacks

diegelernten blog / 25. Aug 2011

Apache Patch für ISPConfig Sites

Anzeige
Stellenmarkt
  1. Softwareentwickler in den Bereichen PHP, Java, .NET, C#, C++, Objective-C…
    proQrent GmbH, Böblingen (Reisebereitschaft)
  2. Professional Softwareentwickler Java (m/w)
    SPIRIT/21 AG, verschiedene Standorte
  3. Testingenieur (m/w) für Hard- und Software für den 3D-Laser Scanner
    FARO Europe GmbH & Co. KG, Korntal-Münchingen
  4. IT Produktmanager Service Delivery Framework (m/w)
    Schott AG, Mainz

 

Detailsuche

Folgen Sie uns
       
Videos
Robonaut schüttelt ISS-Kommandant die Hand Robonaut schüttelt ISS-Kommandant die Hand
Meistgelesen
  1. Facebooks Regeln

    Fleischwunde ja, aber bloß keine Brüste
  2. Onlive Desktop Plus

    Der schnellste Browser fürs iPad kann auch Flash
  3. Sony Music

    Millionenverlust wegen Gema-Sperren auf Youtube
  4. Test Asus Zenbook mit Linux

    Stromsparen nur mit Handarbeit
  5. Test PS Vita und Spiele

    Totgeburt oder Ausstattungswunder?
Meistkommentiert
  1. Test PS Vita und Spiele: Totgeburt oder Ausstattungswunder?

    Kommentare: 178 | letzter Beitrag 12:40 Uhr

  2. Mobile App: Betrüger bucht bundesweit von 85.000 Konten ab

    Kommentare: 126 | letzter Beitrag 13:16 Uhr

  3. Überwachung: Was Joachim Gauck zur Vorratsdatenspeicherung sagte

    Kommentare: 106 | letzter Beitrag 22.02. 16:07

  4. NoSQL: Youporn wechselt von MySQL zu Redis

    Kommentare: 105 | letzter Beitrag 10:11 Uhr

  5. Edge HD3: Sapphires Mini-PC nun mit AMDs APU und USB 3.0

    Kommentare: 79 | letzter Beitrag 22.02. 10:28

Mehr

Ticker
  1. Samsung Star 3

    Touchscreen-Handy mit WLAN für 160 Euro

  2. LPDDR3

    1 GByte DDR3-Speicher für Smartphones und Tablets

  3. LG Optimus 3D Max

    Android-Smartphone mit 3D-Display und Gorilla Glass 2

  4. Test Asus Zenbook mit Linux

    Stromsparen nur mit Handarbeit

  5. Sony Music

    Millionenverlust wegen Gema-Sperren auf Youtube

  6. Raumfahrt

    Japanisches Unternehmen träumt von Weltraumfahrstuhl

  7. tz-Datenbank

    EFF gewinnt Streit um die Zeitzonen-Datenbank

  8. Mobiles Internet

    Datenrate ist Nutzern zu langsam

  9. Softwaresammlung

    Opensource-DVD 26.0 mit 485 Programmen

  10. iPad-Klage in China

    Apple tritt gegen Bank of China an

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Wissenschaft
Superkleber: Geckskin haftet wie ein Gecko
Superkleber
Geckskin haftet wie ein Gecko

Haftet super, lässt sich leicht entfernen und hinterlässt keine Spuren: US-Wissenschaftler haben möglicherweise den Superklebstoff der Zukunft entwickelt. Vorbild war der Fuß eines Geckos.

  1. Lidar Laserbilder zeigen Auswirkungen eines Erdbebens
  2. Wearables Die Textilfaser wird zum Stromspeicher
  3. Forschung Daten mit Hitze schneller speichern
Samsung Galaxy Tab
Galaxy Tab 7.0 Plus N im Test: Nachfolger des Galaxy Tab 7 ist fast gelungen
Galaxy Tab 7.0 Plus N im Test
Nachfolger des Galaxy Tab 7 ist fast gelungen

Das Galaxy Tab von Samsung war eines der ersten guten Android-Tablets. Nun ist in der Golem.de-Redaktion der Nachfolger, das Galaxy Tab 7.0 Plus N, eingetroffen. Golem.de hat beide Generationen ausführlich getestet und verglichen.

  1. Android-Tablet Android 2.3.6 für Samsungs erstes Galaxy Tab ist da
  2. Apple vs. Samsung Verkaufsverbot betrifft auch Galaxy Tab 7.7 und 8.9
  3. Samsung gegen Apple Richterin nennt Tablet-Verkaufsstopp in Australien unfair
Syndicate
Test-Video Syndicate: Patenter Patentkrieg um Hightech-Chips
Test-Video Syndicate
Patenter Patentkrieg um Hightech-Chips

Mit dem Klassiker von Peter Molyneux hat es nur den Namen gemein, aber wer ein geradliniges "Deus Ex Light" mit einer Prise Tron sucht, kann durchaus zu Syndicate greifen - offiziell allerdings nicht in Deutschland.

Forumsbeiträge »
  1. Samsung Star 3 Touchscreen-Handy mit WLAN für 160 Euro

    Re: 160 Euro sind zuviel !

    froschke | 14:11

  2. Mobiles Internet Datenrate ist Nutzern zu langsam

    einfache lösung

    DaleCooper | 14:10

  3. Sony Music Millionenverlust wegen Gema-Sperren auf Youtube

    Re: Wie jetzt, häh?

    kevla | 14:08

  4. Patent Canon könnte an spiegellosem Kamerasystem arbeiten

    Re: Was ist daran besonderes?

    Der Spatz | 14:07

  5. Prozessoren AMDs Piledriver mit neuem Taktgeber kommt über 4 GHz

    Re: Wieso gibt es für Prozessoren die 120W-Grenze?

    MaLic3 | 14:07

Ticker »
  1. Samsung Star 3 Touchscreen-Handy mit WLAN für 160 Euro

    13:12

  2. LPDDR3 1 GByte DDR3-Speicher für Smartphones und Tablets

    12:47

  3. LG Optimus 3D Max Android-Smartphone mit 3D-Display und Gorilla Glass 2

    12:37

  4. Test Asus Zenbook mit Linux Stromsparen nur mit Handarbeit

    12:13

  5. Sony Music Millionenverlust wegen Gema-Sperren auf Youtube

    12:12

  6. Raumfahrt Japanisches Unternehmen träumt von Weltraumfahrstuhl

    12:08

  7. tz-Datenbank EFF gewinnt Streit um die Zeitzonen-Datenbank

    12:00

  8. Mobiles Internet Datenrate ist Nutzern zu langsam

    12:00

Zum Artikel