Kwetsbaarheid maakt Apache gevoelig voor dos-aanvallen

Apache-gebruikers hebben een kwetsbaarheid in de opensource webserversoftware gevonden die benut kan worden om via een dos-aanval een webserver onderuit te halen. De bug in Apache zou in de praktijk al worden misbruikt.

De zogenaamde denial of service-kwetsbaarheid in de Apache httpd-server zou zitten in hoe de software http range requests afhandelt. Aanvallers kunnen naar Apache-servers die versie 1.3 en 2 draaien meerdere get-requests sturen waarin overlappende bytes ranges worden opgevraagd. Normaliter gebruiken browsers deze functie om een deel van een bestand of html-document op te vragen.

Door een fout in de afhandeling van dergelijke http-requests raakt het werkgeheugen vol en wordt de webserver onbereikbaar als er voldoende pakketjes naar een kwetsbare server worden verstuurd. De bug in Apache, die al omschreven wordt als 'Apache Killer', is afgelopen weekend aangemeld op de Seclists-mailinglist. Ook is een script gepost waarin een dos-aanvalsmethode wordt beschreven.

Apache heeft aangekondigd dat het binnen enkele dagen een update wil uitbrengen om het probleem te verhelpen, terwijl er tevens een aantal tijdelijke oplossingen zijn gepubliceerd om dergelijke dos-aanvallen tegen te gaan. Desondanks zou de kwetsbaarheid in de praktijk al misbruikt worden voor het uitvoeren van dos-aanvallen. Een enkele pc zou al volstaan om met gemanipuleerde http-requests een webserver op de knieën te krijgen.

Opmerkelijk is dat de kwetsbaarheid in de verwerking van range requests al sinds januari 2007 bekend was, maar dat het gat niet is gedicht. Ook Microsofts IIS-webserver zou op een soortgelijke manier aangevallen kunnen worden, maar het aantal Apache-webservers - naar schatting 235 miljoen - is aanzienlijk groter. Microsoft laat aan The Register echter weten dat IIS 6.0 uit 2003 en hoger niet gevoelig is voor de aanvalsmethode omdat er in de code restricties zijn opgelegd bij het afhandelen van range requests.

Door Dimitri Reijerman

Redacteur

Feedback • 25-08-2011 11:07
53 • submitter: WhatsappHack

25-08-2011 • 11:07

53

Submitter: WhatsappHack

Lees meer

Microsoft maakt delen Asp.net opensource
Microsoft maakt delen Asp.net opensource Nieuws van 28 maart 2012
'Opensource bevat minder fouten dan propriëtaire code'
'Opensource bevat minder fouten dan propriëtaire code' Nieuws van 24 februari 2012
Hash collision maakt dos-aanval op webservers mogelijk
Hash collision maakt dos-aanval op webservers mogelijk Nieuws van 29 december 2011
Oracle voert ongeplande patchronde uit om Apache-lek
Oracle voert ongeplande patchronde uit om Apache-lek Nieuws van 19 september 2011
Apache dicht kwetsbaarheid in webserver-software
Apache dicht kwetsbaarheid in webserver-software Nieuws van 31 augustus 2011
Google geeft Apache-module voor webserveroptimalisatie vrij
Google geeft Apache-module voor webserveroptimalisatie vrij Nieuws van 4 november 2010
PHP viert vijftiende verjaardag
PHP viert vijftiende verjaardag Nieuws van 8 juni 2010
Hackers bemachtigen wachtwoorden Apache Foundation
Hackers bemachtigen wachtwoorden Apache Foundation Nieuws van 14 april 2010
Lek in Apache voor Windows noopt tot upgrade
Lek in Apache voor Windows noopt tot upgrade Nieuws van 9 maart 2010
Apache.org-site korte tijd offline gehaald na hackeraanval
Apache.org-site korte tijd offline gehaald na hackeraanval Nieuws van 30 augustus 2009
Hacktool legt 'kwetsbaarheid' Apache bloot
Hacktool legt 'kwetsbaarheid' Apache bloot Nieuws van 19 juni 2009
IIS blijft langzaam aandeel van Apache afsnoepen
IIS blijft langzaam aandeel van Apache afsnoepen Nieuws van 7 augustus 2007
Google: IIS-servers favoriet bij malwaremakers
Google: IIS-servers favoriet bij malwaremakers Nieuws van 6 juni 2007
Onderzoek: Apache marktleider voor secure servers
Onderzoek: Apache marktleider voor secure servers Nieuws van 28 april 2006
Meer producten en artikelen
Netwerk en systeembeheer Serversoftware Politiek en recht Privacy Beveiliging Open source Webserver

Reacties (53)

-Moderatie-faq
53
48
23
5
1
10
Wijzig sortering

Sorteer op:

Weergave:
FireWire 25 augustus 2011 11:39
De netste fix is onderaan httpd.conf:
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range
Vergeet ook het volgende niet:
# a2enmod headers
Dank aan @the_jinx voor het er op wijzen.

[Reactie gewijzigd door FireWire op 7 augustus 2024 20:52]

CyBeR @FireWire25 augustus 2011 15:39
De netste fix is onderaan httpd.conf:

[...]

Vergeet ook het volgende niet:

[...]

Dank aan @the_jinx voor het er op wijzen.
Je kapt hiermee alle range-requests met meer dan 5 ranges af. Dat werkt, maar kan ook wat software die ranges wil gebruiken breken (zoals pfd-readers, media players, etc.) en in plaats daarvan stuur je het hele document alsof je geen range-requests ondersteunt. Dat kan je wat bandbreedte gaan kosten :P

[Reactie gewijzigd door CyBeR op 7 augustus 2024 20:52]

sjhgvr @FireWire25 augustus 2011 11:49
Bedankt voor de fix.
Ik weet alleen niet wat ik met
  • # a2enmod headers
aanmoet? Alles met # ervoor doet toch niets?
Of bedoel je dat als je die regel hebt in je httpd.conf, dat je die dan moet uncommenten?
Bij mij komt die regel niet voor.
FireWire @sjhgvr25 augustus 2011 11:52
Dapi, je moet het uitvoeren als root. a2enmod is een programma om apache2 modules in te schakelen.
a2enmod => Apache2 ENable MODule
sjhgvr @FireWire25 augustus 2011 11:56
Ah daar rust het probleem; toevallig ook een Apache @ Windows fix?
Phoenix1337 @sjhgvr25 augustus 2011 12:16
Ja, de module via je httpd.conf aanzetten.

/edit
De volgende regel moet je hiervoor uncommenten in je httpd.conf:
LoadModule headers_module modules/mod_headers.so

[Reactie gewijzigd door Phoenix1337 op 7 augustus 2024 20:52]

Mathijs1 @sjhgvr25 augustus 2011 14:45
a2enmod is inderdaad alleen voor debian en debian-clones zoals ubuntu, normaliter laad je modules met LoadModule in de httpd.conf file. Vergeet na het opslaan van je config niet met 'httpd -k restart' de apache httpd te herstarten.

Zie ook http://people.apache.org/~dirkx/CVE-2011-3192.txt voor de officiele reactie van de ASF.

[Reactie gewijzigd door Mathijs1 op 7 augustus 2024 20:52]

Tyrian @FireWire25 augustus 2011 16:57
Als ik de 'fix' gebruik wil Apache niet meer starten:

De Fix:
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range
De foutmelding:
Syntax error on line 421 of F:/ww
header unset takes two arguments
mod_headers is ingeschakeld.

Wat kan ik hieraan doen?

(Apache 2.0, Windows)

Update: De volgende 'fix' werkt wel op mijn config:

Toevoegen aan .htaccess in de webroot:
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

[Reactie gewijzigd door Tyrian op 7 augustus 2024 20:52]

Jap 25 augustus 2011 11:38
Er zijn een paar dingen die je nu kan doen om aanvallen te beperken/voorkomen. Meer info staat in de advisory:

http://mail-archives.apac...DD@minotaur.apache.org%3e

Nu wachten op de definitive fix.
The Zep Man
25 augustus 2011 11:10
Titel van het artikel: Kwetsbaarheid maakt Apache gevoelig voor ddos-aanvallen
Een enkele pc zou al volstaan om met gemanipuleerde http-requests een webserver op de knieën te krijgen.
Dan is het toch een DoS en niet een DDoS aanval? Klein verschil in tekst, maar de ernst is wel een stuk groter. Vele botjes zijn nu niet nodig om deze kwetsbaarheid te misbruiken: één is voldoende. Op deze manier kan hetzelfde botnet meerdere malen misbruikt worden om één of meer servers plat te leggen. Met IP's blokkeren heb je maar een enkele zombie per keer.

Dit is op zich wel serieus: er zijn veel webservers die niet (snel) van updates worden voorzien, die hiermee zo plat gelegd kunnen worden. Het is bekend dat dit in de praktijk misbruikt wordt, maar wat is daadwerkelijk de impact?

[Reactie gewijzigd door The Zep Man op 7 augustus 2024 20:52]

Royale de Luxe @The Zep Man25 augustus 2011 12:04
ooit sta je op en is het internet verdwenen... :p

Maar je hebt alvast een punt. Veel van die luie admins zullen het niet updaten en dan nadien klagen dat hun site's niet bereikbaar zijn.
dasiro @Royale de Luxe25 augustus 2011 12:08
als het dan de schuld van 1 persoon is ipv 2 miljoen chinezen dan ben je eens zo gefrustreerd :+
Mijzelf @Royale de Luxe25 augustus 2011 12:46
ooit sta je op en is het internet verdwenen...
Als ik des ochtends zo om me heen kijk, is Youtube de meest gebruikte server, en die draait op lighttpd. Je kunt gerust zijn.
bbob
@The Zep Man25 augustus 2011 13:21
Met een ddos aanval met 100.000 servers kun je dan wel een heel datacenter platkrijgen. Zit je op shared hosting hup server plat.

Hele ip ranges kan men scanner voor gebruik van apache en dan de boel platgooien.
Veel mogelijkheden en nu het publiek is zal het misschien op grotere schaal misbruikt worden.
arjankoole
@The Zep Man25 augustus 2011 11:12
[...]
Dan is het toch een DoS aanval en niet een DDoS?
Dat is geheel correct. Gebruik echter alsjeblieft het feedback linkje, zodat de redacteuren 't ook vlot zien :)
YopY @xzaz25 augustus 2011 22:37
Da's waar, maar het vervuilt tegelijkertijd de reacties met feedback (waar dus de gebruikers / lezers van GoT niks aan hebben). Jouw (en mijn) reacties zijn ook voorbeelden van niet-relevante / offtopic berichten, en zijn ook vervuiling.
xzaz @YopY12 september 2011 20:39
Dan modden ze toch naar beneden? Whats the freaking deal? Er bestaat meer in het leven dan 2 groene streepjes halen.
bluuurgh 25 augustus 2011 12:01
mod_deflate of mod_gzip uitzetten werkt ook goed
bergamot @bluuurgh25 augustus 2011 13:00
Uit de advisory:
When using a third party attack tool to verify vulnerability - know that most
of the versions in the wild currently check for the presence of mod_deflate;
and will (mis)report that your server is not vulnerable if this module is not
present. This vulnerability is not dependent on presence or absence of
that module.
Werkt dus niet.
Verwijderd 25 augustus 2011 12:08
heeft Microsoft aan The Register laten weten dat IIS 6.0 en hoger niet gevoelig is
Zijn er nog webservers die IIS lager dan versie 6 draaien dan ?
MMaI @Verwijderd25 augustus 2011 12:35
er zijn onder andere paketten die een ingebouwde IIS versie gebruiken die nog op oude IIS versies gebaseerd zijn, ook deze pakketten zijn dus kwetsbaar. Verder zou het je waarschijnlijk verbazen als je wist hoeveel oude/legacy systemen nog online worden gehouden...
roy-t 25 augustus 2011 12:58
Ook Microsofts IIS-webserver zou op een soortgelijke manier aangevallen kunnen worden, maar het aantal Apache-webservers - naar schatting 235 miljoen - is aanzienlijk groter. Verder heeft Microsoft aan The Register laten weten dat IIS 6.0 en hoger niet gevoelig is voor de aanvalsmethode omdat er in de code restricties zijn opgelegd bij het afhandelen van range requests.
Gek stukje, maar het komt er dus op neer dat de versie van IIS uit Windows 2003 deze bug al niet meer bevat.
Squ1zZy 25 augustus 2011 13:47
Voor diegene die hun eigen site wil testen op deze exploit (of misbruik wil maken):

Windows

Download ActiveState Perl:
http://www.perl.org/get.html#win32

Install Parallel::ForkManager:
- Typ in een CMD "ppm" voor de Perl Package Manager
- CTRL+1 voor "All Packages"
- Zoek op ForkManager en install Parallel-Forkmanager 0.7.9

Run script in een CMD:
perl C:\Users\Squ1zZy\Desktop\killapache.pl www.whatever.nl 50

:Y)
cflink 25 augustus 2011 14:06
Aanvallers kunnen naar Apache-servers die versie 1.3 en 2 draaien
Kan ik hieruit opmaken dat de bug in 2.2 gefixt is?
DR @cflink25 augustus 2011 14:25
Nope
Title: Range header DoS vulnerability Apache HTTPD 1.3/2.x
Versions: Apache 1.3 all versions, Apache 2 all versions
Linkje
Pascal 25 augustus 2011 12:20
Hadden we hiervoor niet ook slowloris dit werkt ook met een 'HTTP Request' maar dit is al maanden uit.... of praten we hier over een nieuwe lek?

hieronder: ah kijk bedankt voor de uitleg.

[Reactie gewijzigd door Pascal op 7 augustus 2024 20:52]

Phoenix1337 @Pascal25 augustus 2011 12:23
Slowloris werkt heel anders. Slowloris laat verbindingen heel lang openstaan waardoor er op een gegeven moment geen ruimte meer is voor nieuwe requests.

Dit lek vraagt overlappende byte-ranges op waardoor het wergeheugen volloopt.
yrew @Phoenix133725 augustus 2011 13:15
Het is wel beide een layer 7 dos aanval.

edit:

Klopt je hebt gelijk hoor. Ze zijn compleet verschillend in uitvoer, maar wel in eenzelfde categorie. Samen met de http POST dos aanval. Ik vind het wel een mooie verschijning.

[Reactie gewijzigd door yrew op 7 augustus 2024 20:52]

Phoenix1337 @yrew25 augustus 2011 14:36
Een appel en een peer zijn ook beiden vruchten. Toch zijn ze niet hetzelfde :) Hetzelfde geld voor slowloris en bovenstaande kwetsbaarheid.

Misschien had ik de eerste zin iets anders moeten zeggen ;)
Scherpenseel 25 augustus 2011 11:16
lol, waarom dacht ik in eerste instantie aan een gevechtshelikopter die te hacken valt.... |:(
darkmushy1995 @Scherpenseel25 augustus 2011 11:25
ik ook :X


maarja hopen dat het zo snel mogelijk opgelost is
Verwijderd @darkmushy199525 augustus 2011 12:11
ik ook :X


maarja hopen dat het zo snel mogelijk opgelost is
Binnen 48 uur volgens de mailing list

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq