Abo
  • Services:
Anzeige
Exploit bei Full-Disclosure veröffentlicht
Exploit bei Full-Disclosure veröffentlicht (Bild: Apache)

0-Day-Exploit

"Apache Killer" friert Webserver ein

Exploit bei Full-Disclosure veröffentlicht
Exploit bei Full-Disclosure veröffentlicht (Bild: Apache)

Aktuelle Versionen des weit verbreiteten Apache-Webservers können durch Fehler in der Behandlung von Byte-Range-Requests missbraucht werden, um den gesamten Server innerhalb weniger Sekunden zum Stillstand zu bringen.

Der in Perl geschriebene Proof-of-Concept "Apache Killer" wurde bereits auf Full Disclosure veröffentlicht. Das Script baut mehrere HTTP-Verbindungen zu einem Zielsystem auf und sendet HEAD-Anfragen mit einem 1300 Intervalle umfassenden Byte-Ranges-Header:

Anzeige

HEAD / HTTP/1.1
Host: ziel.host.tld
Range:bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5 [...] 5-1297,5-1298,5-1299

Byte Ranges werden im Standard-HTTP 1.1 verwendet, um Teile einer Datei, zum Beispiel zum Fortsetzen eines abgebrochenen Downloads, ausliefern zu lassen. Der Apache-Webserver verbraucht beim offenbar fehlerhaften Parsen der unüblich komplexen Byte-Range-Anfragen innerhalb kurzer Zeit große Teile des Arbeitsspeichers. In unserem Test konnten verschiedene Apache-Versionen auf aktuellen Ubuntu- und Debian-basierten Webservern in wenigen Sekunden zum Stillstand gebracht werden. Die betroffenen Systeme froren vollständig ein und waren auch per SSH nicht mehr ansprechbar.

Gegenmaßnahmen

Bis das Apache-Team offizielle Patches bereitstellt und diese von den Distributionen ausgeliefert werden, gibt es kaum Möglichkeiten, einem erfolgreichen Angriff vorzubeugen. Als Workaround wird das Filtern von mehrstufigen Byte-Range-Anfragen per mod_rewrite vorgeschlagen. Beim Zulassen nur weniger Byte Ranges sollten die meisten Webanwendungen weiterhin funktionieren.

Gravierender ist die komplette Filterung des Range-Headers durch das mod_header-Modul. Bei beiden Methoden muss im Einzelfall geprüft werden, welche Auswirkungen das auf die jeweilige Webseite hat. Insbesondere das Ausliefern größerer Dateien/Medien (Progressive Download) und WebDAV kann durch die Änderungen negativ beeinflusst werden.

Eine weitere Alternative ist das Vorschalten eines Reverse-Proxy-Servers, der entsprechende Anfragen direkt bedient oder filtert.

Die Apache-Entwickler warnen mittlerweile selbst vor dem Problem, das nach ihrer Erkenntnis bereits aktiv ausgenutzt wird. Eine neue, korrigierte Version des Apache-Webservers soll innerhalb von 48 Stunden veröffentlicht werden.

Nachtrag vom 24. August 2011, 21:15 Uhr

Im Skript wird ein HEAD-Request statt eines GET-Requests verwendet. Laut Mailinglisten ist Apache aber durch beide Requests gefährdet. Für einen Angriff ist HEAD die schnellere Variante, da weniger Daten vom Server zum Client gesendet werden.


eye home zur Startseite
satriani 26. Aug 2011

Nein nein... er wollte nicht das Projekt einstellen, sondern die Webseite. Weil die...

Bill Gates 25. Aug 2011

Das sieht Apache selbst aber anders: http://marc.info/?l=apache-httpd-announce&m...

Threat-Anzeiger 25. Aug 2011

wundert mich sowieso dass die Seite grade online ist, und noch keiner den Exploit dort am...

bratenesser 24. Aug 2011

OK, danke. :)


diegelernten blog / 25. Aug 2011



Anzeige

Stellenmarkt
  1. E. M. Group Holding AG, Wertingen
  2. Allianz Deutschland AG, Stuttgart
  3. Der Polizeipräsident in Berlin, Berlin
  4. Dataport, Altenholz bei Kiel


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 699€

Folgen Sie uns
       


  1. TP Link Archer CR700v

    Einziger AVM-Konkurrent bei Kabelroutern gibt auf

  2. Sparc M8

    Oracles neuer Chip ist 40 Prozent schneller

  3. Cloud

    IBM bringt die Datenmigration im 120-Terabyte-Koffer

  4. Fire HD 10

    Amazon bringt 10-Zoll-Full-HD-Tablet mit Alexa für 160 Euro

  5. Watson

    IBMs Supercomputer stellt sich dumm an

  6. Techbold

    Mining-Komplett-PCs mit bis zu 256 MH/s

  7. Aquaris-V- und U2-Reihe

    BQ stellt neue Smartphones ab 180 Euro vor

  8. Landkreis Südwestpfalz

    Telekom baut FTTH für Gewerbe und Vectoring für Haushalte

  9. Microsoft

    Gute Store-Apps sollen besseren Marketingstatus erhalten

  10. Zukunft des Autos

    "Unsere Elektrofahrzeuge sollen typische Porsche sein"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Videos Youtube bringt HDR auf Smartphones
  2. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Mobilestudio Pro 16 im Test: Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
Mobilestudio Pro 16 im Test
Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  1. Wacom Vorschau auf Cintiq-Stift-Displays mit 32 und 24 Zoll

  1. Die sicheren Gewinner beim Goldrausch waren immer...

    the_second | 15:50

  2. Re: Was genau ist den der Sinn dieser "smarten...

    Dwalinn | 15:49

  3. höhöhö

    Prinzeumel | 15:48

  4. Re: Cloud! Docker! KI! VR!!!

    Trollversteher | 15:47

  5. Re: Nur damit ich es verstanden habe...

    M.P. | 15:46


  1. 15:50

  2. 15:21

  3. 15:12

  4. 15:00

  5. 14:00

  6. 13:59

  7. 13:20

  8. 13:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel