Jump to content
Калькуляторы

Новый баг в Апаче DoS

Reply to this topic

zurz   

zurz
Posted

Обнаружена уязвимость Апача (похоже что всех версий), приводящая к сжиранию памяти, свопу, и наконец DoS'у.

 

http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/browser

http://seclists.org/fulldisclosure/2011/Aug/175

http://www.gossamer-threads.com/lists/apache/dev/401638

 

валится весьма небольшим количеством запросов с тонной интервалов Range, такого вида

HEAD / HTTP/1.1

Host: xxxx

Range:bytes=0-,5-1,5-2,5-3,.....

Share this post

Link to post
Share on other sites

mschedrin   

mschedrin
Posted

Уже попробовали на тестовом сервере. LA поднялся до 100, но сервер доступен по ssh. swap не поедается. Не инетересно :)

Share this post

Link to post
Share on other sites

voron   

voron
Posted
валится весьма небольшим количеством запросов с тонной интервалов Range, такого вида

HEAD / HTTP/1.1

Host: xxxx

Range:bytes=0-,5-1,5-2,5-3,.....

а сжатие забыли, из-за которого собственно ресурсы и кушаются, как я понимаю

Share this post

Link to post
Share on other sites

zurz   

zurz
Posted

если подключены mod_deflate или mod_gzip - то загибается быстрее, если нет - медленнее.

на самом деле это проблема плохо написаного и недостаточно продуманного RFC2616, поскольку на запрос

HEAD / HTTP/1.1
Host: xxxx
Range:bytes=0-,0-,0-,0-

сервер должен передать 4 копии исходного файла.

Share this post

Link to post
Share on other sites

ShumBor   

ShumBor
Posted

ну сервак может немного и потормозит, пока OOM killer не сработает, а потом по ssh пустит, если OOM killer его не зацепит ( хотя тут уже можно поиграться праметрами OOM killer и выставить так что ssh не убьется, а апач будет грохнут )

Share this post

Link to post
Share on other sites

Zaqwr   

Zaqwr
Posted (edited)

когда MaxClients соответствует разумным настройкам, ничего критичного не случится (для сервера)

Edited by Zaqwr

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted
на самом деле это проблема плохо написаного и недостаточно продуманного RFC2616, поскольку на запрос

 

Весь HTTP такой.

 

 

Share this post

Link to post
Share on other sites

Tosha   

Tosha
Posted

дык вроде убивает эта штука не сервер, а апач.

Да даже если только апач - все равно это именно ДОС. Ведь сервер с клиентской точки зрения будет мертв.

Share this post

Link to post
Share on other sites

st_re   

st_re
Posted

http://www.apache.org/dist/httpd/Announcement2.2.html

 

Всем ставить обновление и расслабиться :)

 

странно только что в http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192 перечисленны версии 1.3, 2.0 и 2.2 а на apache.org такое впечятление, что в версии 2.2 есть бага а 1.3 и 2.0 нет...

Share this post

Link to post
Share on other sites

zurz   

zurz
Posted

дык 1.3 уже сто лет как obsolete, и его фиксить не собирались в принципе, а 2.0 - legacy, так что тоже будут тянуть кота за яйца.

Share this post

Link to post
Share on other sites

st_re   

st_re
Posted

ну в списке багов то добавить могли ? ссылка на митру есть в 2.2 и нет упоминания о проблеме в 1.3 и 2.0. А то зайдет счастливый пользователь 2.0 и возрадуется, мол нету у него проблем...

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing У нага