Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Software » Beheer & Beveiliging » Kwetsbaarheid maakt Apache gevoelig voor dos-aanvallen

Kwetsbaarheid maakt Apache gevoelig voor dos-aanvallen

Door Dimitri Reijerman, donderdag 25 augustus 2011 11:07
Submitter: WhatsappHack, views: 15.429

Apache-gebruikers hebben een kwetsbaarheid in de opensource webserversoftware gevonden die benut kan worden om via een dos-aanval een webserver onderuit te halen. De bug in Apache zou in de praktijk al worden misbruikt.

De zogenaamde denial of service-kwetsbaarheid in de Apache httpd-server zou zitten in hoe de software http range requests afhandelt. Aanvallers kunnen naar Apache-servers die versie 1.3 en 2 draaien meerdere get-requests sturen waarin overlappende bytes ranges worden opgevraagd. Normaliter gebruiken browsers deze functie om een deel van een bestand of html-document op te vragen.

Door een fout in de afhandeling van dergelijke http-requests raakt het werkgeheugen vol en wordt de webserver onbereikbaar als er voldoende pakketjes naar een kwetsbare server worden verstuurd. De bug in Apache, die al omschreven wordt als 'Apache Killer', is afgelopen weekend aangemeld op de Seclists-mailinglist. Ook is een script gepost waarin een dos-aanvalsmethode wordt beschreven.

Apache heeft aangekondigd dat het binnen enkele dagen een update wil uitbrengen om het probleem te verhelpen, terwijl er tevens een aantal tijdelijke oplossingen zijn gepubliceerd om dergelijke dos-aanvallen tegen te gaan. Desondanks zou de kwetsbaarheid in de praktijk al misbruikt worden voor het uitvoeren van dos-aanvallen. Een enkele pc zou al volstaan om met gemanipuleerde http-requests een webserver op de knieën te krijgen.

Opmerkelijk is dat de kwetsbaarheid in de verwerking van range requests al sinds januari 2007 bekend was, maar dat het gat niet is gedicht. Ook Microsofts IIS-webserver zou op een soortgelijke manier aangevallen kunnen worden, maar het aantal Apache-webservers - naar schatting 235 miljoen - is aanzienlijk groter. Microsoft laat aan The Register echter weten dat IIS 6.0 uit 2003 en hoger niet gevoelig is voor de aanvalsmethode omdat er in de code restricties zijn opgelegd bij het afhandelen van range requests.

Volgende 11:17 Gamestop weigert pc-versie Deus Ex met OnLive-coupon te verkopen
Vorige 10:38 ASRock introduceert drie A55-moederborden
Advertentie

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 53 reacties zichtbaar530 Off-topic / Irrelevant: 48 reacties zichtbaar48+1 On-topic: 23 reacties zichtbaar23+2 Informatief: 5 reacties zichtbaar5+3 Spotlight: 1 reactie zichtbaar1
«  1  2  »

Door The Zep Man, donderdag 25 augustus 2011 11:10

Score: 2
Titel van het artikel: Kwetsbaarheid maakt Apache gevoelig voor ddos-aanvallen
Een enkele pc zou al volstaan om met gemanipuleerde http-requests een webserver op de knieën te krijgen.
Dan is het toch een DoS en niet een DDoS aanval? Klein verschil in tekst, maar de ernst is wel een stuk groter. Vele botjes zijn nu niet nodig om deze kwetsbaarheid te misbruiken: één is voldoende. Op deze manier kan hetzelfde botnet meerdere malen misbruikt worden om één of meer servers plat te leggen. Met IP's blokkeren heb je maar een enkele zombie per keer.

Dit is op zich wel serieus: er zijn veel webservers die niet (snel) van updates worden voorzien, die hiermee zo plat gelegd kunnen worden. Het is bekend dat dit in de praktijk misbruikt wordt, maar wat is daadwerkelijk de impact?

[Reactie gewijzigd door The Zep Man op donderdag 25 augustus 2011 11:32]

Door arjankoole, donderdag 25 augustus 2011 11:12

Score: 0
[...]
Dan is het toch een DoS aanval en niet een DDoS?
Dat is geheel correct. Gebruik echter alsjeblieft het feedback linkje, zodat de redacteuren 't ook vlot zien :)

Door YopY, donderdag 25 augustus 2011 22:37

Score: 1
Da's waar, maar het vervuilt tegelijkertijd de reacties met feedback (waar dus de gebruikers / lezers van GoT niks aan hebben). Jouw (en mijn) reacties zijn ook voorbeelden van niet-relevante / offtopic berichten, en zijn ook vervuiling.

Door xzaz, maandag 12 september 2011 20:39

Score: 0
Dan modden ze toch naar beneden? Whats the freaking deal? Er bestaat meer in het leven dan 2 groene streepjes halen.

Door Royale de Luxe, donderdag 25 augustus 2011 12:04

Score: 0
ooit sta je op en is het internet verdwenen... :p

Maar je hebt alvast een punt. Veel van die luie admins zullen het niet updaten en dan nadien klagen dat hun site's niet bereikbaar zijn.

Door dasiro, donderdag 25 augustus 2011 12:08

Score: 0
als het dan de schuld van 1 persoon is ipv 2 miljoen chinezen dan ben je eens zo gefrustreerd :+

Door Mijzelf, donderdag 25 augustus 2011 12:46

Score: 0
ooit sta je op en is het internet verdwenen...
Als ik des ochtends zo om me heen kijk, is Youtube de meest gebruikte server, en die draait op lighttpd. Je kunt gerust zijn.

Door bbob1970, donderdag 25 augustus 2011 13:21

Score: 0
Met een ddos aanval met 100.000 servers kun je dan wel een heel datacenter platkrijgen. Zit je op shared hosting hup server plat.

Hele ip ranges kan men scanner voor gebruik van apache en dan de boel platgooien.
Veel mogelijkheden en nu het publiek is zal het misschien op grotere schaal misbruikt worden.

Door CyberEye, donderdag 25 augustus 2011 11:16

Score: 0
lol, waarom dacht ik in eerste instantie aan een gevechtshelikopter die te hacken valt.... |:(

Door darkmushy1995, donderdag 25 augustus 2011 11:25

Score: 0
ik ook :X


maarja hopen dat het zo snel mogelijk opgelost is

Door demilord, donderdag 25 augustus 2011 12:11

Score: 1
ik ook :X


maarja hopen dat het zo snel mogelijk opgelost is
Binnen 48 uur volgens de mailing list

Door Jap, donderdag 25 augustus 2011 11:38

Score: 2
Er zijn een paar dingen die je nu kan doen om aanvallen te beperken/voorkomen. Meer info staat in de advisory:

http://mail-archives.apac...DD@minotaur.apache.org%3e

Nu wachten op de definitive fix.

Door thekip, donderdag 25 augustus 2011 11:53

Score: 1
Niet echt constructief.

Ik ben benieuwd wat voor OS je draait aangezien ik ervan uit ga dat je bij het vinden van een bug in je OS ook meteen overstapt op een andere?

Serieus: hier kan toch niemand wat mee??? De keuze voor een webserver is niet iets wat je even aanpast omdat een bug is gevonden.

Door demilord, donderdag 25 augustus 2011 12:13

Score: 1
http://nginx.net/ <- De beste "patch".
Wat moet je ermee... Of daarin geen bugs zitten.. Iedere software heeft bugs..
En aangezien apache de grootste en beste oplossing is voor 65% van de gebruikers en goede support levert ga je toch niet van server wissellen?
En zoals gezegt binnen 48 uur komt de patch

Door no-sense, donderdag 25 augustus 2011 14:45

Score: 0
Nee dank je. Ik blijf wel bij Apache.

Waarom?
- Apache heeft zich al ruimschoots bewezen. Er staat een grote organisatie achter met snelle respons en hele goede support (3rd party meegeteld). Engine X lijkt me een "eenmanszaakje". Hoewel ik er niets op dit soort initiatieven tegen heb is het imho nog niet stabiel genoeg. Als die man morgen onder de trein komt wat dan? 30 forks? Ruzie? Kijk bijvoorbeeld naar ReiserFS om te zien wat er kan gebeuren als de Grote Man achter een project wegvalt.
- Er zijn duizenden en duizenden pagina's aan documentatie over Apache te vinden van het internet tot en met de boekhandel aan toe. Tot vandaag had ik nog niet van Engine X gehoord. Dat verbaast me wel met een project van inmiddels 7 jaar oud.
- Engine X is ook niet vrij van kwetsbaarheden. (Vrijwel) geen enkel stuk software is vrij van kwetsbaarheden. (even niet aankomen met je vulnerability-free hello-world programmaatje aub ;) )
- Ondanks dit akkefietje heeft Apache toch een heel behoorlijk trackrecord wat problemen en kwetsbaarheden betreft.
- Ik heb me ooit door eenzelfde verhaal laten leiden en QMail geinstalleerd i.p.v. sendmail. Wat gebeurt er? De oorspronkelijke ontwikkelaar hield ermee op. Inmiddels kost het onderhoud aan qmail me meer tijd dan het onderhoud aan al het andere samen en heb ik ondertussen zo ongeveer mijn eigen SMTP server geprogrammeerd. (toegegeven, het is ook een hobby geworden ;) )

Nee, ben ben blij met Apache. De enkele ernstige kwetsbaarheden die ontdekt worden en onmiddellijke actie vereisen van mij neem ik voor lief. Tot nu toe heb ik er nog niet mijn bed voor hoeven uitkomen.

Dit neemt niet weg dat ik het Engine X project van harte toejuich. Hoe meer concurrentie voor Apache en IIS hoe beter vind ik.

edit: link weer es verknald...

[Reactie gewijzigd door no-sense op donderdag 25 augustus 2011 14:48]

Door FireWire, donderdag 25 augustus 2011 11:39

Score: 3
De netste fix is onderaan httpd.conf:
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range
Vergeet ook het volgende niet:
# a2enmod headers
Dank aan @the_jinx voor het er op wijzen.

[Reactie gewijzigd door FireWire op donderdag 25 augustus 2011 11:42]

Door DaPi, donderdag 25 augustus 2011 11:49

Score: 1
Bedankt voor de fix.
Ik weet alleen niet wat ik met
  • # a2enmod headers
aanmoet? Alles met # ervoor doet toch niets?
Of bedoel je dat als je die regel hebt in je httpd.conf, dat je die dan moet uncommenten?
Bij mij komt die regel niet voor.

Door FireWire, donderdag 25 augustus 2011 11:52

Score: 1
Dapi, je moet het uitvoeren als root. a2enmod is een programma om apache2 modules in te schakelen.
a2enmod => Apache2 ENable MODule

Door DaPi, donderdag 25 augustus 2011 11:56

Score: 1
Ah daar rust het probleem; toevallig ook een Apache @ Windows fix?

Door Phoenix1337, donderdag 25 augustus 2011 12:16

Score: 2
Ja, de module via je httpd.conf aanzetten.

/edit
De volgende regel moet je hiervoor uncommenten in je httpd.conf:
LoadModule headers_module modules/mod_headers.so

[Reactie gewijzigd door Phoenix1337 op donderdag 25 augustus 2011 12:27]

Door Mathijs1, donderdag 25 augustus 2011 14:45

Score: 0
a2enmod is inderdaad alleen voor debian en debian-clones zoals ubuntu, normaliter laad je modules met LoadModule in de httpd.conf file. Vergeet na het opslaan van je config niet met 'httpd -k restart' de apache httpd te herstarten.

Zie ook http://people.apache.org/~dirkx/CVE-2011-3192.txt voor de officiele reactie van de ASF.

[Reactie gewijzigd door Mathijs1 op donderdag 25 augustus 2011 14:54]

Door CyBeR, donderdag 25 augustus 2011 15:39

Score: 2
De netste fix is onderaan httpd.conf:

[...]

Vergeet ook het volgende niet:

[...]

Dank aan @the_jinx voor het er op wijzen.
Je kapt hiermee alle range-requests met meer dan 5 ranges af. Dat werkt, maar kan ook wat software die ranges wil gebruiken breken (zoals pfd-readers, media players, etc.) en in plaats daarvan stuur je het hele document alsof je geen range-requests ondersteunt. Dat kan je wat bandbreedte gaan kosten :P

[Reactie gewijzigd door CyBeR op donderdag 25 augustus 2011 16:21]

Door Tyrian, donderdag 25 augustus 2011 16:57

Score: 0
Als ik de 'fix' gebruik wil Apache niet meer starten:

De Fix:
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range
De foutmelding:
Syntax error on line 421 of F:/ww
header unset takes two arguments
mod_headers is ingeschakeld.

Wat kan ik hieraan doen?

(Apache 2.0, Windows)

Update: De volgende 'fix' werkt wel op mijn config:

Toevoegen aan .htaccess in de webroot:
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

[Reactie gewijzigd door Tyrian op donderdag 25 augustus 2011 23:11]

Door Fbian, donderdag 25 augustus 2011 11:42

Score: 0
Spannende periode voor webhosters!! :P

Door arjankoole, donderdag 25 augustus 2011 11:54

Score: 0
welnee, hier is triviaal om heen te werken, zie boven (post van FireWire)

Door mcDavid, donderdag 25 augustus 2011 13:09

Score: 1
En bovendien: wat is er nou leuk aan om een willekeurig shared-hosting servertje waar toevallig de klaverjasvereniging en tante bep d'r kattenblog op gehost staan, uit de lucht te halen.
Meestal zijn het juist de grotere organisaties die het slachtoffer zijn, die over het algemeen wel een eigen server hebben.

Door FvdM, vrijdag 26 augustus 2011 00:20

Score: 0
Dat valt best tegen, er zijn ook veel attackers die het doen voor de credits. Een bekende is iskorpitx: http://www.zone-h.org/archive/notifier=iskorpitx

Door bluuurgh, donderdag 25 augustus 2011 12:01

Score: 1
mod_deflate of mod_gzip uitzetten werkt ook goed

Door bergamot, donderdag 25 augustus 2011 13:00

Score: 1
Uit de advisory:
When using a third party attack tool to verify vulnerability - know that most
of the versions in the wild currently check for the presence of mod_deflate;
and will (mis)report that your server is not vulnerable if this module is not
present. This vulnerability is not dependent on presence or absence of
that module.
Werkt dus niet.

Door hAl, donderdag 25 augustus 2011 12:08

Score: 1
heeft Microsoft aan The Register laten weten dat IIS 6.0 en hoger niet gevoelig is
Zijn er nog webservers die IIS lager dan versie 6 draaien dan ?

Door MMaI, donderdag 25 augustus 2011 12:35

Score: 1
er zijn onder andere paketten die een ingebouwde IIS versie gebruiken die nog op oude IIS versies gebaseerd zijn, ook deze pakketten zijn dus kwetsbaar. Verder zou het je waarschijnlijk verbazen als je wist hoeveel oude/legacy systemen nog online worden gehouden...

Door GamingZeUs, donderdag 25 augustus 2011 12:15

Score: 1
Stiekem is Apache al tijden lang kwetsbaar. Slowloris is volgens mij nog steeds functioneel. (die opent veel connecties en voert die heel langzaam bits, dan kan je'm niet redelijkerwijs sluiten en apache heeft een vrij laag limiet aan het aantal connecties.)

Door Incr.Badeend, donderdag 25 augustus 2011 12:44

Score: 0
Wanneer krijgen we bij iedere poep of scheet van windows beveiligings lekken hier in tweakers nieuws... En heel stieken is Windows al meer dan 15 jaar zeer kwetsbaar..
Wil je hiermee zeggen dat het niet nieuwswaardig is? Ik vind namelijk van wel. Het feit dat het veelvuldig gebruikt wordt is betekent dat er dus veel tweakers zijn die graag op de hoogte worden gebracht vóór dat je het gewoon overkomt. Ik ben zo'n tweaker. Ik ga straks gauw al onze applicatieservers 'updaten' om dit te voorkomen! En als er in Windows kritieke bugs zitten dan wil ik het ook graag hier lezen t.b.v. onze Windows servers..

Door elma_illusion, donderdag 25 augustus 2011 12:18

Score: 0
Hoelang zal het duren voordat de software update van Apache via Red Hat Satellite uitgerold kan worden?

Door demilord, donderdag 25 augustus 2011 12:22

Score: 0
Hoelang zal het duren voordat de software update van Apache via Red Hat Satellite uitgerold kan worden?
Kan binnen enkele uren na de release van de patch zijn..
Mirrors moeten ook syncen he.. :)

[Reactie gewijzigd door demilord op donderdag 25 augustus 2011 12:23]

«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 11:17 Gamestop weigert pc-versie Deus Ex met OnLive-coupon te verkopen
Vorige 10:38 ASRock introduceert drie A55-moederborden
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011