Apache DoS Sicherheitslücke

Guten Tag,

im Apache SVN ist nun ein Patch verfügbar:
http://svn.apache.org/viewvc/httpd/h...627&r2=1162885

*) SECURITY: CVE-2011-3192 (cve.mitre.org)
core: Fix handling of byte-range requests to use less memory, to avoid denial of
service. If the sum of all ranges in a request is larger than the original file,
ignore the ranges and send the complete file.
PR 51714. [Stefan Fritsch, Jim Jagielski, Ruediger Pluem, Eric Covener]

Mit freundlichen Grüssen

Octave

Guten Tag,

vor Kurzem wurde eine Sicherheitslücke im Apache Webserver entdeckt, die für DoS
Angriffe ausgenutzt werden kann. Die Apache Versionen 1.3.x und 2.x.x sind
verwundbar - also fast alle Server:
http://www.securityfocus.com/bid/49303/info

Es existieren bereits Exploits, und das Apache Team hat bis jetzt noch keinen Patch
veröffentlicht. In der Zwischenzeit gibt es aber verschiedene Lösungen, um die
Auswirkungen dieser Lücke zu minimieren; es handelt sich dabei um mehr oder weniger
wirksame Ansätze, um das Problem zu begrenzen:

- Konfiguration mit mod_rewrite:
http://lists.grok.org.uk/pipermail/f...st/082365.html

- Patch (mit eventuellen Nebenwirkungen):
http://seclists.org/fulldisclosure/2...ge_ranges.diff

Update: Für Debian existieren inzwischen Sicherheitsupdates:
http://www.debian.org/security/2011/dsa-2298

Wir haben deshalb eine neue Version (2.30) der Release 2 von OVH mit einem Patch
'made-in-ovh' veröffentlicht:
http://guide.ovh.com/ReleasePatchSecurite

Der Patch für die Release 1 von OVH wird derzeit ausgeführt.

Mit freundlichen Grüssen

Octave