Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties
Submitter: WhatsappHack

Apache-gebruikers hebben een kwetsbaarheid in de opensource webserversoftware gevonden die benut kan worden om via een dos-aanval een webserver onderuit te halen. De bug in Apache zou in de praktijk al worden misbruikt.

De zogenaamde denial of service-kwetsbaarheid in de Apache httpd-server zou zitten in hoe de software http range requests afhandelt. Aanvallers kunnen naar Apache-servers die versie 1.3 en 2 draaien meerdere get-requests sturen waarin overlappende bytes ranges worden opgevraagd. Normaliter gebruiken browsers deze functie om een deel van een bestand of html-document op te vragen.

Door een fout in de afhandeling van dergelijke http-requests raakt het werkgeheugen vol en wordt de webserver onbereikbaar als er voldoende pakketjes naar een kwetsbare server worden verstuurd. De bug in Apache, die al omschreven wordt als 'Apache Killer', is afgelopen weekend aangemeld op de Seclists-mailinglist. Ook is een script gepost waarin een dos-aanvalsmethode wordt beschreven.

Apache heeft aangekondigd dat het binnen enkele dagen een update wil uitbrengen om het probleem te verhelpen, terwijl er tevens een aantal tijdelijke oplossingen zijn gepubliceerd om dergelijke dos-aanvallen tegen te gaan. Desondanks zou de kwetsbaarheid in de praktijk al misbruikt worden voor het uitvoeren van dos-aanvallen. Een enkele pc zou al volstaan om met gemanipuleerde http-requests een webserver op de knieën te krijgen.

Opmerkelijk is dat de kwetsbaarheid in de verwerking van range requests al sinds januari 2007 bekend was, maar dat het gat niet is gedicht. Ook Microsofts IIS-webserver zou op een soortgelijke manier aangevallen kunnen worden, maar het aantal Apache-webservers - naar schatting 235 miljoen - is aanzienlijk groter. Microsoft laat aan The Register echter weten dat IIS 6.0 uit 2003 en hoger niet gevoelig is voor de aanvalsmethode omdat er in de code restricties zijn opgelegd bij het afhandelen van range requests.

Moderatie-faq Wijzig weergave

Reacties (53)

De netste fix is onderaan httpd.conf:
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range
Vergeet ook het volgende niet:
# a2enmod headers
Dank aan @the_jinx voor het er op wijzen.

[Reactie gewijzigd door FireWire op 25 augustus 2011 11:42]

De netste fix is onderaan httpd.conf:

[...]

Vergeet ook het volgende niet:

[...]

Dank aan @the_jinx voor het er op wijzen.
Je kapt hiermee alle range-requests met meer dan 5 ranges af. Dat werkt, maar kan ook wat software die ranges wil gebruiken breken (zoals pfd-readers, media players, etc.) en in plaats daarvan stuur je het hele document alsof je geen range-requests ondersteunt. Dat kan je wat bandbreedte gaan kosten :P

[Reactie gewijzigd door CyBeR op 25 augustus 2011 16:21]

Bedankt voor de fix.
Ik weet alleen niet wat ik met
  • # a2enmod headers
aanmoet? Alles met # ervoor doet toch niets?
Of bedoel je dat als je die regel hebt in je httpd.conf, dat je die dan moet uncommenten?
Bij mij komt die regel niet voor.
Dapi, je moet het uitvoeren als root. a2enmod is een programma om apache2 modules in te schakelen.
a2enmod => Apache2 ENable MODule
Ah daar rust het probleem; toevallig ook een Apache @ Windows fix?
Ja, de module via je httpd.conf aanzetten.

/edit
De volgende regel moet je hiervoor uncommenten in je httpd.conf:
LoadModule headers_module modules/mod_headers.so

[Reactie gewijzigd door Phoenix1337 op 25 augustus 2011 12:27]

a2enmod is inderdaad alleen voor debian en debian-clones zoals ubuntu, normaliter laad je modules met LoadModule in de httpd.conf file. Vergeet na het opslaan van je config niet met 'httpd -k restart' de apache httpd te herstarten.

Zie ook http://people.apache.org/~dirkx/CVE-2011-3192.txt voor de officiele reactie van de ASF.

[Reactie gewijzigd door Mathijs1 op 25 augustus 2011 14:54]

Als ik de 'fix' gebruik wil Apache niet meer starten:

De Fix:
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range
De foutmelding:
Syntax error on line 421 of F:/ww
header unset takes two arguments
mod_headers is ingeschakeld.

Wat kan ik hieraan doen?

(Apache 2.0, Windows)

Update: De volgende 'fix' werkt wel op mijn config:

Toevoegen aan .htaccess in de webroot:
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

[Reactie gewijzigd door Tyrian op 25 augustus 2011 23:11]

Er zijn een paar dingen die je nu kan doen om aanvallen te beperken/voorkomen. Meer info staat in de advisory:

http://mail-archives.apac...DD@minotaur.apache.org%3e

Nu wachten op de definitive fix.
Titel van het artikel: Kwetsbaarheid maakt Apache gevoelig voor ddos-aanvallen
Een enkele pc zou al volstaan om met gemanipuleerde http-requests een webserver op de knieën te krijgen.
Dan is het toch een DoS en niet een DDoS aanval? Klein verschil in tekst, maar de ernst is wel een stuk groter. Vele botjes zijn nu niet nodig om deze kwetsbaarheid te misbruiken: één is voldoende. Op deze manier kan hetzelfde botnet meerdere malen misbruikt worden om één of meer servers plat te leggen. Met IP's blokkeren heb je maar een enkele zombie per keer.

Dit is op zich wel serieus: er zijn veel webservers die niet (snel) van updates worden voorzien, die hiermee zo plat gelegd kunnen worden. Het is bekend dat dit in de praktijk misbruikt wordt, maar wat is daadwerkelijk de impact?

[Reactie gewijzigd door The Zep Man op 25 augustus 2011 11:32]

ooit sta je op en is het internet verdwenen... :p

Maar je hebt alvast een punt. Veel van die luie admins zullen het niet updaten en dan nadien klagen dat hun site's niet bereikbaar zijn.
als het dan de schuld van 1 persoon is ipv 2 miljoen chinezen dan ben je eens zo gefrustreerd :+
ooit sta je op en is het internet verdwenen...
Als ik des ochtends zo om me heen kijk, is Youtube de meest gebruikte server, en die draait op lighttpd. Je kunt gerust zijn.
Met een ddos aanval met 100.000 servers kun je dan wel een heel datacenter platkrijgen. Zit je op shared hosting hup server plat.

Hele ip ranges kan men scanner voor gebruik van apache en dan de boel platgooien.
Veel mogelijkheden en nu het publiek is zal het misschien op grotere schaal misbruikt worden.
[...]
Dan is het toch een DoS aanval en niet een DDoS?
Dat is geheel correct. Gebruik echter alsjeblieft het feedback linkje, zodat de redacteuren 't ook vlot zien :)
Da's waar, maar het vervuilt tegelijkertijd de reacties met feedback (waar dus de gebruikers / lezers van GoT niks aan hebben). Jouw (en mijn) reacties zijn ook voorbeelden van niet-relevante / offtopic berichten, en zijn ook vervuiling.
Dan modden ze toch naar beneden? Whats the freaking deal? Er bestaat meer in het leven dan 2 groene streepjes halen.
mod_deflate of mod_gzip uitzetten werkt ook goed
Uit de advisory:
When using a third party attack tool to verify vulnerability - know that most
of the versions in the wild currently check for the presence of mod_deflate;
and will (mis)report that your server is not vulnerable if this module is not
present. This vulnerability is not dependent on presence or absence of
that module.
Werkt dus niet.
heeft Microsoft aan The Register laten weten dat IIS 6.0 en hoger niet gevoelig is
Zijn er nog webservers die IIS lager dan versie 6 draaien dan ?
er zijn onder andere paketten die een ingebouwde IIS versie gebruiken die nog op oude IIS versies gebaseerd zijn, ook deze pakketten zijn dus kwetsbaar. Verder zou het je waarschijnlijk verbazen als je wist hoeveel oude/legacy systemen nog online worden gehouden...
Ook Microsofts IIS-webserver zou op een soortgelijke manier aangevallen kunnen worden, maar het aantal Apache-webservers - naar schatting 235 miljoen - is aanzienlijk groter. Verder heeft Microsoft aan The Register laten weten dat IIS 6.0 en hoger niet gevoelig is voor de aanvalsmethode omdat er in de code restricties zijn opgelegd bij het afhandelen van range requests.
Gek stukje, maar het komt er dus op neer dat de versie van IIS uit Windows 2003 deze bug al niet meer bevat.
Voor diegene die hun eigen site wil testen op deze exploit (of misbruik wil maken):

Windows

Download ActiveState Perl:
http://www.perl.org/get.html#win32

Install Parallel::ForkManager:
- Typ in een CMD "ppm" voor de Perl Package Manager
- CTRL+1 voor "All Packages"
- Zoek op ForkManager en install Parallel-Forkmanager 0.7.9

Run script in een CMD:
perl C:\Users\Squ1zZy\Desktop\killapache.pl www.whatever.nl 50

:Y)
Aanvallers kunnen naar Apache-servers die versie 1.3 en 2 draaien
Kan ik hieruit opmaken dat de bug in 2.2 gefixt is?
Nope
Title: Range header DoS vulnerability Apache HTTPD 1.3/2.x
Versions: Apache 1.3 all versions, Apache 2 all versions
Linkje
Hadden we hiervoor niet ook slowloris dit werkt ook met een 'HTTP Request' maar dit is al maanden uit.... of praten we hier over een nieuwe lek?

hieronder: ah kijk bedankt voor de uitleg.

[Reactie gewijzigd door Pascal op 25 augustus 2011 15:05]

Slowloris werkt heel anders. Slowloris laat verbindingen heel lang openstaan waardoor er op een gegeven moment geen ruimte meer is voor nieuwe requests.

Dit lek vraagt overlappende byte-ranges op waardoor het wergeheugen volloopt.
Het is wel beide een layer 7 dos aanval.

edit:

Klopt je hebt gelijk hoor. Ze zijn compleet verschillend in uitvoer, maar wel in eenzelfde categorie. Samen met de http POST dos aanval. Ik vind het wel een mooie verschijning.

[Reactie gewijzigd door yrew op 25 augustus 2011 14:53]

Een appel en een peer zijn ook beiden vruchten. Toch zijn ze niet hetzelfde :) Hetzelfde geld voor slowloris en bovenstaande kwetsbaarheid.

Misschien had ik de eerste zin iets anders moeten zeggen ;)
lol, waarom dacht ik in eerste instantie aan een gevechtshelikopter die te hacken valt.... |:(
ik ook :X


maarja hopen dat het zo snel mogelijk opgelost is
ik ook :X


maarja hopen dat het zo snel mogelijk opgelost is
Binnen 48 uur volgens de mailing list

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True