PHP und Apaches 0-Day Exploit
Kommentare

Der Apache 2.2 hat ein Problem. Genauer gesagt mit seinen Byte-Range-Headern, die eigentlich dafür gedacht sind, Downloads von Webseiten pausieren und wieder aufnehmen zu können. Ein 0-Day Exploit sorgt

Der Apache 2.2 hat ein Problem. Genauer gesagt mit seinen Byte-Range-Headern, die eigentlich dafür gedacht sind, Downloads von Webseiten pausieren und wieder aufnehmen zu können. Ein 0-Day Exploit sorgt dafür, dass Angreifer mit einem einzigen Rechner in der Lage sind, einen kompletten Webserver lahm zu legen. Drei PHP-Skripte mit verschiedenen Ansätzen helfen Entwicklern, ihren Server auf die Schwachstelle hin zu überprüfen.

Die Zend-Framework-Variante

Michael Kliewe präsentiert auf seinem Blog eine Lösung mit dem Zend Framework: Testet eure Apache Server auf die neue 0-Day DOS-Lücke. Der „Nachteil“ liegt auf der Hand – ohne das Zend Framework kommt man nicht weit.

Die cURL-Variante

Fabian Beiner hat auf Gist eine einfache Funktion veröffentlicht, mit der man seinen Apachen unter die Lupe nehmen kann: Simple function to check for the „Apache Killer“. Der „Nachteil“ an dieser Variante ist die Tatsache, dass cURL installiert sein muss – und das ist unter Umständen nicht überall der Fall.

Die „Läuft-überall“-Variante

Norbert Bartels entschuldigt sich gleich im Vorfeld für sein nicht all zu sauber geschriebenes Skript – dafür sollte es sich ohne Probleme auf allen Servern ausführen lassen. „Apache Killer“ vulnerability check baut eine Socket-Verbindung zu einem Server auf, sendet eine Testanfrage des Exploits und untersucht die Antwort des Servers.

Wie schützt man sich?

Verschiedene Varianten schützen vor Angriffen. Zum einen besteht die Möglichkeit, mit mod_rewrite get– und head-Requests mit mehreren Ranges im HTTP-Header zu beschränken.

Die zweite Variante ist deutlich brachialer: Mittels des Apache-Moduls mod_headers könnten Range-Header komplett ausgefiltert werden. Das jedoch ist gerade bei Seiten mit großen Downloads kaum eine valide Option.

Weitere Möglichkeiten findet man im Posting Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x. Dort verspricht das Apache-Team im Übrigen auch einen Patch, der spätestens morgen veröffentlicht werden soll.

Schuld an alledem ist der Proof-of-Concept „Apache Killer“, der auf Full Disclosure veröffentlicht wurde. Jetzt heißt es also, mit den oben beschriebenen Mitteln zu testen und bei Bedarf einen der Lösungsansätze zu verwenden, um seinen Server fürs Erste abzusichern.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -