Frissített figyelmeztető jelent meg a CVE-2011-3192 Apache DOS sebezhetőséggel kapcsolatban

Címkék

A Full Disclosure listán néhány nappal ezelőtt felbukkant egy eszköz, amellyel DOS támadás indítható az összes Apache HTTPD 2.x és 1.3.x szerver ellen. A támadás távolról kivitelezhető és már szerény számú kérés elküldésével is magas CPU, illetve memóriahasználat idézhető elő a megtámadott szerveren. A hírek szerint a hibát aktívan kihasználják. Az alapértelmezett Apache telepítések sebezhetők. A tegnap kiadott frissített figyelmeztető arról számolt be, hogy még nincs sem patch, sem újabb Apache verzió, amely orvosolná a hibát, de a teljes javítás megjelenése 24 órán belül várható. A bejelentés számos tipped ad ahhoz, hogy a javítás megérkeztéig hogyan lehet védekezni a támadás ellen. A részletek a bejelentésben.

Hozzászólások

Megnéztem pár nagyobb oldalt (kicsit módosítottam a scriptet, hogy ne vigyen el a gestapó) csak teszteltem a scriptel és megdöbbentem nem kicsit!!!
Nyilván a terhelés elosztók, meg proxy -k megakadályozzák az eredményes explitálást de megdöbbentem!

----
올드보이
http://molnaristvan.eu/

Slackware 13.37-es Apache szerverén default konfiggal nem fogott ki, Debián Squeeze default konfiggal elhullott. Utóbbin a cikkben írt header modulra épülő megoldás segített.

A gáz az, hogy ez egy 2007-es sechole, amelyet nem javítottak. Pedig ugye nyílt forrás, meg közösségi erő meg minden. Aztán mégsem javították ki azonnal. Nem kicsit inog ilyenkor a nyílt forrás, gyors hibajavítás bullshit duma :)

A dolog úgy áll, hogy ez nem csak az apache fejlesztőcsapatának a billentyűzetén szárad. A thred -et olvasva az id kiderül, hogy ez egy az ide vonatkozó RFC miatt felmerült tervezési hiba. A megjelent patch-ek leginkább a kenjük be sárral szellemében született (ne engedjünk csak 10 töredéket, ne higgyük el a byte=0- típusú range -eket, stb.). Viszont azt többen írták, hogy a reverse proxy -k haproxy megóv attól, hogy ezt a hibát ki lehessen használni. Azt is fontos megjegyezni, hogy úgy tűnik a 2.2.19 -es apache nem eszi meg az exploitot.

Mivel azonban érdemes biztosra menni, mindenképpen a mod_security, vagy egyéb alkalmazás tűzfal a megfelelő megoldás. Tehát mielőbb tegyetek mod_security -t az apache aitokra.

----
올드보이
http://molnaristvan.eu/

itt a parton csak mobilnet van, de a bongeszom szerint a httpd.apache.org azt mondja, hogy az utolso release majusi.az meg, hogy a debiljany ebbe is belepacsolt hol fedi azt, hogy apacsek igertek 24 orara fixet.elsiklottam valami felett a kis kepernyon tukrozodo napfenyben? :)
--
zsebHUP-ot használok!

az elso advisory-ban(24.en) meg 48at irtak, 26.-an mar 24-et, viszont nem azt irtak, hogy 24/48 ora mulva lesz javitas, hanem hogy varhatoan (expected).
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C…
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C…
a levlistan ugy lattam, hogy eleg sok levelvaltas volt, hogy hogy lenne a legjobb javitani, szoval szerintem nem a tokuket vakartak.

Tyrael