We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Apache DoS Sicherheitslücke


Peter
30.08.11, 13:06
Guten Tag,

im Apache SVN ist nun ein Patch verfügbar:
http://svn.apache.org/viewvc/httpd/h...627&r2=1162885

*) SECURITY: CVE-2011-3192 (cve.mitre.org)
core: Fix handling of byte-range requests to use less memory, to avoid denial of
service. If the sum of all ranges in a request is larger than the original file,
ignore the ranges and send the complete file.
PR 51714. [Stefan Fritsch, Jim Jagielski, Ruediger Pluem, Eric Covener]

Mit freundlichen Grüssen

Octave

Peter
30.08.11, 12:01
Guten Tag,

vor Kurzem wurde eine Sicherheitslücke im Apache Webserver entdeckt, die für DoS
Angriffe ausgenutzt werden kann. Die Apache Versionen 1.3.x und 2.x.x sind
verwundbar - also fast alle Server:
http://www.securityfocus.com/bid/49303/info

Es existieren bereits Exploits, und das Apache Team hat bis jetzt noch keinen Patch
veröffentlicht. In der Zwischenzeit gibt es aber verschiedene Lösungen, um die
Auswirkungen dieser Lücke zu minimieren; es handelt sich dabei um mehr oder weniger
wirksame Ansätze, um das Problem zu begrenzen:

- Konfiguration mit mod_rewrite:
http://lists.grok.org.uk/pipermail/f...st/082365.html

- Patch (mit eventuellen Nebenwirkungen):
http://seclists.org/fulldisclosure/2...ge_ranges.diff

Update: Für Debian existieren inzwischen Sicherheitsupdates:
http://www.debian.org/security/2011/dsa-2298

Wir haben deshalb eine neue Version (2.30) der Release 2 von OVH mit einem Patch
'made-in-ovh' veröffentlicht:
http://guide.ovh.com/ReleasePatchSecurite

Der Patch für die Release 1 von OVH wird derzeit ausgeführt.

Mit freundlichen Grüssen

Octave