 |
Адрес в интернете: https://news.hostdb.ru/index/show/id/4664 |
Найден способ обхода методов защиты от DoS-уязвимости в HTTP-сервере Apache
Разработчики проекта Apache опубликовали новое уведомление, в котором указали на то, что эксплуатируемая через заголовок Range уязвимость проявляется также и для устаревшего заголовка 'Request-Range', поддержка которого оставлена для обеспечения совместимости с Netscape Navigator 2-3 и MSIE 3.
В связи с этим ранее приведенные методы защиты неэффективны. В дополнение к ним следует добавить в конфигурацию Apache директиву "RequestHeader unset Request-Range" для блокирования работы заголовка Request-Range. Обновление с исправлением уязвимости пока не выпущено, но в SVN-репозиторий уже добавлен патч.
Новые улучшенные правила блокировки атаки (по сравнению с прошлым вариантом увеличена производительность и учтены новые типы проведения атаки):
Для Apache 2.2:
SetEnvIf Range (?:,.*?){5,5} bad-range=1
RequestHeader unset Range env=bad-range
RequestHeader unset Request-Range
CustomLog logs/range-CVE-2011-3192.log common env=bad-range
Для Apache 2.x и 1.3:
RewriteEngine on
RewriteCond %{HTTP:range} !(bytes=[^,">+(,[^,">+){0,4}$|^$)
RewriteRule .* - [F">
RequestHeader unset Request-Range
Распечатано с HostDB.ru.