Abo
  • Services:

0-Day-Exploit

"Apache Killer" friert Webserver ein

Aktuelle Versionen des weit verbreiteten Apache-Webservers können durch Fehler in der Behandlung von Byte-Range-Requests missbraucht werden, um den gesamten Server innerhalb weniger Sekunden zum Stillstand zu bringen.

Artikel veröffentlicht am , Caspar Clemens Mierau/Leitmedium.de
Exploit bei Full-Disclosure veröffentlicht
Exploit bei Full-Disclosure veröffentlicht (Bild: Apache)

Der in Perl geschriebene Proof-of-Concept "Apache Killer" wurde bereits auf Full Disclosure veröffentlicht. Das Script baut mehrere HTTP-Verbindungen zu einem Zielsystem auf und sendet HEAD-Anfragen mit einem 1300 Intervalle umfassenden Byte-Ranges-Header:

Stellenmarkt
  1. BwFuhrparkService GmbH, Troisdorf bei Bonn
  2. DEUTZ AG, Köln

HEAD / HTTP/1.1
Host: ziel.host.tld
Range:bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5 [...] 5-1297,5-1298,5-1299

Byte Ranges werden im Standard-HTTP 1.1 verwendet, um Teile einer Datei, zum Beispiel zum Fortsetzen eines abgebrochenen Downloads, ausliefern zu lassen. Der Apache-Webserver verbraucht beim offenbar fehlerhaften Parsen der unüblich komplexen Byte-Range-Anfragen innerhalb kurzer Zeit große Teile des Arbeitsspeichers. In unserem Test konnten verschiedene Apache-Versionen auf aktuellen Ubuntu- und Debian-basierten Webservern in wenigen Sekunden zum Stillstand gebracht werden. Die betroffenen Systeme froren vollständig ein und waren auch per SSH nicht mehr ansprechbar.

Gegenmaßnahmen

Bis das Apache-Team offizielle Patches bereitstellt und diese von den Distributionen ausgeliefert werden, gibt es kaum Möglichkeiten, einem erfolgreichen Angriff vorzubeugen. Als Workaround wird das Filtern von mehrstufigen Byte-Range-Anfragen per mod_rewrite vorgeschlagen. Beim Zulassen nur weniger Byte Ranges sollten die meisten Webanwendungen weiterhin funktionieren.

Gravierender ist die komplette Filterung des Range-Headers durch das mod_header-Modul. Bei beiden Methoden muss im Einzelfall geprüft werden, welche Auswirkungen das auf die jeweilige Webseite hat. Insbesondere das Ausliefern größerer Dateien/Medien (Progressive Download) und WebDAV kann durch die Änderungen negativ beeinflusst werden.

Eine weitere Alternative ist das Vorschalten eines Reverse-Proxy-Servers, der entsprechende Anfragen direkt bedient oder filtert.

Die Apache-Entwickler warnen mittlerweile selbst vor dem Problem, das nach ihrer Erkenntnis bereits aktiv ausgenutzt wird. Eine neue, korrigierte Version des Apache-Webservers soll innerhalb von 48 Stunden veröffentlicht werden.

Nachtrag vom 24. August 2011, 21:15 Uhr

Im Skript wird ein HEAD-Request statt eines GET-Requests verwendet. Laut Mailinglisten ist Apache aber durch beide Requests gefährdet. Für einen Angriff ist HEAD die schnellere Variante, da weniger Daten vom Server zum Client gesendet werden.



Anzeige
Blu-ray-Angebote
  1. 34,99€

satriani 26. Aug 2011

Nein nein... er wollte nicht das Projekt einstellen, sondern die Webseite. Weil die...

Bill Gates 25. Aug 2011

Das sieht Apache selbst aber anders: http://marc.info/?l=apache-httpd-announce&m...

Threat-Anzeiger 25. Aug 2011

wundert mich sowieso dass die Seite grade online ist, und noch keiner den Exploit dort am...

bratenesser 24. Aug 2011

OK, danke. :)


Folgen Sie uns
       


Sony Xperia XZ3 - Hands on (Ifa 2018)

Das neue Xperia XZ3 von Sony kommt mit Oberklasse-Hardware und interessanten Funktionen, die dem Nutzer den Alltag erleichtern können. Außerdem hat das Gerät einen OLED-Bildschirm, eine Premiere bei einem Smartphone von Sony.

Sony Xperia XZ3 - Hands on (Ifa 2018) Video aufrufen
Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


      •  /