zurz Posted August 25, 2011 Posted August 25, 2011 Обнаружена уязвимость Апача (похоже что всех версий), приводящая к сжиранию памяти, свопу, и наконец DoS'у. http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/browser http://seclists.org/fulldisclosure/2011/Aug/175 http://www.gossamer-threads.com/lists/apache/dev/401638 валится весьма небольшим количеством запросов с тонной интервалов Range, такого вида HEAD / HTTP/1.1 Host: xxxx Range:bytes=0-,5-1,5-2,5-3,..... Вставить ник Quote
mschedrin Posted August 25, 2011 Posted August 25, 2011 Уже попробовали на тестовом сервере. LA поднялся до 100, но сервер доступен по ssh. swap не поедается. Не инетересно :) Вставить ник Quote
Дятел Posted August 25, 2011 Posted August 25, 2011 дык вроде убивает эта штука не сервер, а апач. Вставить ник Quote
voron Posted August 25, 2011 Posted August 25, 2011 валится весьма небольшим количеством запросов с тонной интервалов Range, такого видаHEAD / HTTP/1.1 Host: xxxx Range:bytes=0-,5-1,5-2,5-3,..... а сжатие забыли, из-за которого собственно ресурсы и кушаются, как я понимаю Вставить ник Quote
mschedrin Posted August 25, 2011 Posted August 25, 2011 Сервер убивать должна. Съедает весь своп и RAM. После этого уже по ssh к серверу не подключиться. Вставить ник Quote
zurz Posted August 25, 2011 Author Posted August 25, 2011 если подключены mod_deflate или mod_gzip - то загибается быстрее, если нет - медленнее. на самом деле это проблема плохо написаного и недостаточно продуманного RFC2616, поскольку на запрос HEAD / HTTP/1.1 Host: xxxx Range:bytes=0-,0-,0-,0- сервер должен передать 4 копии исходного файла. Вставить ник Quote
ShumBor Posted August 29, 2011 Posted August 29, 2011 ну сервак может немного и потормозит, пока OOM killer не сработает, а потом по ssh пустит, если OOM killer его не зацепит ( хотя тут уже можно поиграться праметрами OOM killer и выставить так что ssh не убьется, а апач будет грохнут ) Вставить ник Quote
Zaqwr Posted August 29, 2011 Posted August 29, 2011 (edited) когда MaxClients соответствует разумным настройкам, ничего критичного не случится (для сервера) Edited August 29, 2011 by Zaqwr Вставить ник Quote
Ivan_83 Posted August 31, 2011 Posted August 31, 2011 на самом деле это проблема плохо написаного и недостаточно продуманного RFC2616, поскольку на запрос Весь HTTP такой. Вставить ник Quote
Tosha Posted August 31, 2011 Posted August 31, 2011 дык вроде убивает эта штука не сервер, а апач. Да даже если только апач - все равно это именно ДОС. Ведь сервер с клиентской точки зрения будет мертв. Вставить ник Quote
st_re Posted August 31, 2011 Posted August 31, 2011 http://www.apache.org/dist/httpd/Announcement2.2.html Всем ставить обновление и расслабиться :) странно только что в http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192 перечисленны версии 1.3, 2.0 и 2.2 а на apache.org такое впечятление, что в версии 2.2 есть бага а 1.3 и 2.0 нет... Вставить ник Quote
zurz Posted August 31, 2011 Author Posted August 31, 2011 дык 1.3 уже сто лет как obsolete, и его фиксить не собирались в принципе, а 2.0 - legacy, так что тоже будут тянуть кота за яйца. Вставить ник Quote
st_re Posted August 31, 2011 Posted August 31, 2011 ну в списке багов то добавить могли ? ссылка на митру есть в 2.2 и нет упоминания о проблеме в 1.3 и 2.0. А то зайдет счастливый пользователь 2.0 и возрадуется, мол нету у него проблем... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.