Frissített figyelmeztető jelent meg a CVE-2011-3192 Apache DOS sebezhetőséggel kapcsolatban

 ( trey | 2011. augusztus 27., szombat - 17:54 )

A Full Disclosure listán néhány nappal ezelőtt felbukkant egy eszköz, amellyel DOS támadás indítható az összes Apache HTTPD 2.x és 1.3.x szerver ellen. A támadás távolról kivitelezhető és már szerény számú kérés elküldésével is magas CPU, illetve memóriahasználat idézhető elő a megtámadott szerveren. A hírek szerint a hibát aktívan kihasználják. Az alapértelmezett Apache telepítések sebezhetők. A tegnap kiadott frissített figyelmeztető arról számolt be, hogy még nincs sem patch, sem újabb Apache verzió, amely orvosolná a hibát, de a teljes javítás megjelenése 24 órán belül várható. A bejelentés számos tipped ad ahhoz, hogy a javítás megérkeztéig hogyan lehet védekezni a támadás ellen. A részletek a bejelentésben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Megnéztem pár nagyobb oldalt (kicsit módosítottam a scriptet, hogy ne vigyen el a gestapó) csak teszteltem a scriptel és megdöbbentem nem kicsit!!!
Nyilván a terhelés elosztók, meg proxy -k megakadályozzák az eredményes explitálást de megdöbbentem!

----
올드보이
http://molnaristvan.eu/

Slackware 13.37-es Apache szerverén default konfiggal nem fogott ki, Debián Squeeze default konfiggal elhullott. Utóbbin a cikkben írt header modulra épülő megoldás segített.

Megnéztem én is pár gépet, érdekes...
11.4-en semmi nem történt. 11.3 apache még nginx frontend proxyval is megfeküdt.
--
Discover It - Have a lot of fun!

A gáz az, hogy ez egy 2007-es sechole, amelyet nem javítottak. Pedig ugye nyílt forrás, meg közösségi erő meg minden. Aztán mégsem javították ki azonnal. Nem kicsit inog ilyenkor a nyílt forrás, gyors hibajavítás bullshit duma :)

Aztán miért nem javítottad ki?

És te miért nem?

(közös lónak.....)

Nem én sírtam, hogy 2007-óta nem javították.
Nekem nem fáj.

Aztán ez a legnagyobb bullshit, amit el lehet sütni :)

nem, mert az a "nyílt forrás ereje, oszt mégse.."-duma :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

nem ugyanaz a hiba, mint a 2007-es, mindketto a range fejlecekkel operalt, az savszelt tudta megenni, ez a memoriat.

Tyrael

Köszönet!

A dolog úgy áll, hogy ez nem csak az apache fejlesztőcsapatának a billentyűzetén szárad. A thred -et olvasva az id kiderül, hogy ez egy az ide vonatkozó RFC miatt felmerült tervezési hiba. A megjelent patch-ek leginkább a kenjük be sárral szellemében született (ne engedjünk csak 10 töredéket, ne higgyük el a byte=0- típusú range -eket, stb.). Viszont azt többen írták, hogy a reverse proxy -k haproxy megóv attól, hogy ezt a hibát ki lehessen használni. Azt is fontos megjegyezni, hogy úgy tűnik a 2.2.19 -es apache nem eszi meg az exploitot.

Mivel azonban érdemes biztosra menni, mindenképpen a mod_security, vagy egyéb alkalmazás tűzfal a megfelelő megoldás. Tehát mielőbb tegyetek mod_security -t az apache aitokra.

----
올드보이
http://molnaristvan.eu/

a level mod_security nem tartalmazhat hibakat? :)
--
zsebHUP-ot használok!

a tervezesi hiba mellett az apache is saros annyiban, hogy elegge szuboptimalisan kezeli jelenleg a range fejleceket:
http://mail-archives.apache.org/mod_mbox/httpd-dev/201108.mbox/%3C20110824220643.17819937@baldur%3E

Tyrael

letelt mar a 24 ora?
--
zsebHUP-ot használok!

Már le, és jött is frissítés Debian pajtásra.
________________________________________________
http://kronosz.sinuslink.hu

itt a parton csak mobilnet van, de a bongeszom szerint a httpd.apache.org azt mondja, hogy az utolso release majusi.az meg, hogy a debiljany ebbe is belepacsolt hol fedi azt, hogy apacsek igertek 24 orara fixet.elsiklottam valami felett a kis kepernyon tukrozodo napfenyben? :)
--
zsebHUP-ot használok!

marmint 48 orara.

Tyrael

fent en 24-et olvasok, de a 48-bol is boven kicsusztak...
--
zsebHUP-ot használok!

Tudod mit szoktak erre mondani... Kérd vissza a pénzed!

--
trey @ gépház

az elso advisory-ban(24.en) meg 48at irtak, 26.-an mar 24-et, viszont nem azt irtak, hogy 24/48 ora mulva lesz javitas, hanem hogy varhatoan (expected).
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110824161640.122D387DD@minotaur.apache.org%3E
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E
a levlistan ugy lattam, hogy eleg sok levelvaltas volt, hogy hogy lenne a legjobb javitani, szoval szerintem nem a tokuket vakartak.

Tyrael

es vegulis hogyan fixaltak?

a patch keddnél még így is gyorsabb...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség