Уязвимость к DoS-атаке угрожает серверам Apache

Эксплойт, появившийся в списке рассылки Full Security, позволяет потенциальным атакующим с лёгкостью провести удалённую DoS-атаку против веб-серверов Apache. В отличие от DDoS-атаки, полагающейся на число участвующих в атаке компьютеров, указанная атака, используя уязвимость, достигает того же при помощи только одного компьютера. Проблема также заключается в том, что для восстановления после такой атаки, в некоторых случаях все атакованные компьютеры должны быть перезагружены, что повлияет на работу и других сервисов.

реклама

Эксплойт написан на Perl и назван соответствующим образом - "Apache Killer". В данный момент официального патча для закрытия уязвимости пока не выпущено, однако уже предложены приёмы для обхода уязвимости.

Один из подходов требует наличия mod_rewrite и заключается в использовании только одиночных диапазонов в запросах GET и HEAD. Это не должно негативно повлиять на большинство приложений. SetEnvIf или mod_rewrite также могут быть использованы для обнаружения большого количества диапазонов и игнорирования заголовка Range или отброса запроса целиком. Ещё один вариант защиты от уязвимости заключается в ограничении поля запроса несколькими сотнями байтов, хотя такой подход может испортить некоторые заголовки, требующие длинных строк - например, те, что несут в себе куки или маркеры доступа. Модуль mod_headers может быть использован для запрета использования заголовка Range полностью, однако в некоторых ситуациях это неприменимо.

анонсы и реклама

"Пользователям Apache HTTPD, беспокоящимся о DoS-атаке на свой сервер, следует незамедлительно рассмотреть возможность реализации одного из вышеперечисленных способов", - советуют разработчики Apache, обещая выпустить патч в течение 48 часов.

Оценитe материал
рейтинг: 4.2 из 5
голосов: 17

Возможно вас заинтересует

Сейчас обсуждают