0-Day-Exploit

"Apache Killer" friert Webserver ein

Aktuelle Versionen des weit verbreiteten Apache-Webservers können durch Fehler in der Behandlung von Byte-Range-Requests missbraucht werden, um den gesamten Server innerhalb weniger Sekunden zum Stillstand zu bringen.

Anzeige

Der in Perl geschriebene Proof-of-Concept "Apache Killer" wurde bereits auf Full Disclosure veröffentlicht. Das Script baut mehrere HTTP-Verbindungen zu einem Zielsystem auf und sendet HEAD-Anfragen mit einem 1300 Intervalle umfassenden Byte-Ranges-Header:

HEAD / HTTP/1.1
Host: ziel.host.tld
Range:bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5 [...] 5-1297,5-1298,5-1299

Byte Ranges werden im Standard-HTTP 1.1 verwendet, um Teile einer Datei, zum Beispiel zum Fortsetzen eines abgebrochenen Downloads, ausliefern zu lassen. Der Apache-Webserver verbraucht beim offenbar fehlerhaften Parsen der unüblich komplexen Byte-Range-Anfragen innerhalb kurzer Zeit große Teile des Arbeitsspeichers. In unserem Test konnten verschiedene Apache-Versionen auf aktuellen Ubuntu- und Debian-basierten Webservern in wenigen Sekunden zum Stillstand gebracht werden. Die betroffenen Systeme froren vollständig ein und waren auch per SSH nicht mehr ansprechbar.

Gegenmaßnahmen

Bis das Apache-Team offizielle Patches bereitstellt und diese von den Distributionen ausgeliefert werden, gibt es kaum Möglichkeiten, einem erfolgreichen Angriff vorzubeugen. Als Workaround wird das Filtern von mehrstufigen Byte-Range-Anfragen per mod_rewrite vorgeschlagen. Beim Zulassen nur weniger Byte Ranges sollten die meisten Webanwendungen weiterhin funktionieren.

Gravierender ist die komplette Filterung des Range-Headers durch das mod_header-Modul. Bei beiden Methoden muss im Einzelfall geprüft werden, welche Auswirkungen das auf die jeweilige Webseite hat. Insbesondere das Ausliefern größerer Dateien/Medien (Progressive Download) und WebDAV kann durch die Änderungen negativ beeinflusst werden.

Eine weitere Alternative ist das Vorschalten eines Reverse-Proxy-Servers, der entsprechende Anfragen direkt bedient oder filtert.

Die Apache-Entwickler warnen mittlerweile selbst vor dem Problem, das nach ihrer Erkenntnis bereits aktiv ausgenutzt wird. Eine neue, korrigierte Version des Apache-Webservers soll innerhalb von 48 Stunden veröffentlicht werden.

Nachtrag vom 24. August 2011, 21:15 Uhr

Im Skript wird ein HEAD-Request statt eines GET-Requests verwendet. Laut Mailinglisten ist Apache aber durch beide Requests gefährdet. Für einen Angriff ist HEAD die schnellere Variante, da weniger Daten vom Server zum Client gesendet werden.

Kommentarübersicht
Re: Tja, typisch Apache...
satriani 26. Aug 2011

Nein nein... er wollte nicht das Projekt einstellen, sondern die Webseite. Weil die...

Re: Wow, verdammt :|
Bill Gates 25. Aug 2011

Das sieht Apache selbst aber anders: http://marc.info/?l=apache-httpd-announce&m...

Re: Was kann man bei so einer Funktion falsch machen?
Zeitvertreib 25. Aug 2011

+1.1

Die GEMA wird sich freuen xD
Threat-Anzeiger 25. Aug 2011

wundert mich sowieso dass die Seite grade online ist, und noch keiner den Exploit dort am...

Re: Gerade gestern ...
bratenesser 24. Aug 2011

OK, danke. :)

Kommentieren

Trackbacks

diegelernten blog / 25. Aug 2011

Apache Patch für ISPConfig Sites

Anzeige
Stellenmarkt
  1. Teamleiter (m/w) Projektmanagement
    DEXINA AG, Raum Stuttgart
  2. IT-Projektleiter (m/w) - Komplexe IT-Prozesse
    deron consulting GmbH, Stuttgart und Home-Office (Reisebereitschaft)
  3. Junior Systementwickler (m/w)
    Flughafen München GmbH, München-Flughafen
  4. IT-Systemadministrator/in IT System Analyst (m/w)
    DE-STA-CO, Oberursel bei Frankfurt

 

Detailsuche

Folgen Sie uns
       
Videos
Vizekanzler Philipp Rösler auf der Politiker-LAN 2013 Vizekanzler Philipp Rösler auf der Politiker-LAN 2013
Ticker
  1. Google X

    Google baut mobiles Internet in Afrika und Südostasien

  2. Xbox One

    Handel muss Gebrauchtspiele de-registrieren

  3. Lenovo

    "Wir können uns jede Übernahme leisten"

  4. Bundesdatenschützer

    Jobcenter sollen nicht bei Facebook recherchieren

  5. Navigation

    Google Maps erhält Routenplanung per Fahrrad

  6. Test Call of Juarez Gunslinger

    Hör-Spiel im Wilden Westen

  7. Fonic All-Net Flat

    Telefon-, SMS- und Datenflatrate für 25 Euro

  8. Drosselung

    Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

  9. Telekom

    Bundestagspetition gegen Drosselung erreicht 50.000

  10. E-Ink

    Das E-Paper errötet

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Quantified Self
Scanadu Scout: Tricorder für 200 US-Dollar
Scanadu Scout
Tricorder für 200 US-Dollar

Der Scanadu Scout ist ein mobiles Diagnosegerät nach dem Vorbild des Tricorders aus der Star-Trek-Serie. Damit lassen sich Blutdruck, Puls, Körpertemperatur, Atemfrequenz, Sauerstoffsättigung und ein Elektrokardiogramm anfertigen. Das Handgerät soll 200 US-Dollar kosten.

  1. Quantified Self Alkoholmessgerät für das Smartphone
  2. WLAN-Netzwerk Cubesensors als Heimsensoren für besseres Raumklima
Playstation 4
Sony: Die Playstation 4 ist schwarz - und verschwommen
Sony
Die Playstation 4 ist schwarz - und verschwommen

Störfeuer von Sony: Kurz vor der Enthüllung der nächsten Xbox hat Sony ein Video veröffentlicht, das zumindest einen verschwommenen Blick auf das Gehäuse der Playstation 4 gewährt.

  1. Temash, Kabini, Richland AMDs mobile APUs von 4 bis 35 Watt sind da
  2. Electronic Arts Leitender EA-Entwickler bezeichnet Wii U als "Mist"
  3. Lords of the Fallen Witcher-2- und Ankh-Macher arbeiten an Rollenspiel
Google X
Windenergie: Google kauft Hersteller von Windkraftwerken
Windenergie
Google kauft Hersteller von Windkraftwerken

Google steigt in das Energiegeschäft ein: Das Unternehmen hat Makani Power gekauft, einen Hersteller von Windturbinen. Makani soll ein Teil von Googles Forschungsabteilung Google X werden.

  1. Santa Clara Google Glass wird von Foxconn in den USA hergestellt
  2. Jeff Huber Auch der Chef von Google Maps tritt zurück
Forumsbeiträge »
  1. Lenovo "Wir können uns jede Übernahme leisten"

    kein wunder

    x2k | 12:02

  2. Drosselung Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

    Re: irrtum

    neocron | 12:01

  3. Xbox One Handel muss Gebrauchtspiele de-registrieren

    Re: 41? eher unwahrscheinlich

    throgh | 12:00

  4. Lenovo "Wir können uns jede Übernahme leisten"

    Re: wer in Deutschland kennt Lenovo ?

    Tzven | 11:59

  5. Bundesdatenschützer Jobcenter sollen nicht bei Facebook recherchieren

    Re: Das Stasi-Gehabe passt allerdings perfekt zu...

    DrWatson | 11:58

Ticker »
  1. Google X Google baut mobiles Internet in Afrika und Südostasien

    11:44

  2. Xbox One Handel muss Gebrauchtspiele de-registrieren

    17:34

  3. Lenovo "Wir können uns jede Übernahme leisten"

    16:22

  4. Bundesdatenschützer Jobcenter sollen nicht bei Facebook recherchieren

    14:55

  5. Navigation Google Maps erhält Routenplanung per Fahrrad

    14:37

  6. Test Call of Juarez Gunslinger Hör-Spiel im Wilden Westen

    14:00

  7. Fonic All-Net Flat Telefon-, SMS- und Datenflatrate für 25 Euro

    12:30

  8. Drosselung Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

    12:03

Zum Artikel