资讯频道 企业架构
阅读更多

2顶
0踩

企业架构

原创新闻 Apache 爆拒绝服务漏洞,补丁48小时内发布

2011-08-25 16:04 by 资深编辑 luiang1018 评论(1) 有6336人浏览
Apache 漏洞 拒绝服务

声明:ITeye资讯文章的版权属于ITeye网站所有,严禁任何网站转载本文,否则必将追究法律责任!



Apache项目日前发布警告:发现一个Apache http server的拒绝服务(DoS)漏洞,该漏洞可让攻击者轻松地让Apache软件拒绝服务。Apache指出,攻击工具正在坊间广泛流传,并且已经留意到一些活跃分子。

漏洞影响到了Apache的所有版本。该攻击能够在远程发动,并且使Apache HTTP服务器占用大量的内存和CPU资源,而导致无法处理正常的请求。默认安装的Apache更容易受此攻击。

目前尚无相应的补丁或新版本。Apache预计在48小时内将进行修复,发布补丁或是新版本。需要注意的是,该补丁或新版本将针对Apache 2.0及2.2,Apache 1.3则建议弃用。

在完整补丁发布前,Apache给出了以下几个应对措施:

1.启用SetEnvlf和mod_rewrite检测访问中是否有大量的Range,若有的话,则忽略该Range请求头或直接拒绝请求。
     Option 1:(适用于Apache 2.0、2.2) 
          # Drop the Range header when more than 5 ranges.
          # CVE-2011-3192
          SetEnvIf Range (,.*?){5,} bad-range=1
          RequestHeader unset Range env=bad-range

          # optional logging.
          CustomLog logs/range-CVE-2011-3192.log common env=bad-range

     Option 2:(也适用于Apache 1.3) 
          # Reject request when more than 5 ranges in the Range: header.
          # CVE-2011-3192
          #
          RewriteEngine on
          RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
          RewriteRule .* - [F]

2.限制访问字段大小为几百字节。 
 LimitRequestFieldSize 200


3.使用mod_header来彻底禁止Range header的使用。 
RequestHeader unset Range。


4.部署一个Range header计数模块来进行临时的监测。
      http://people.apache.org/~dirkx/mod_rangecnt.c

5.及时关注并安装下面链接中发布的补丁:
      http://mail-archives.apache.org/mod_mbox/httpd-dev/201108...

更多详情查看:Range header DoS vulnerability Apache HTTPD 1.3/2.x
  • 大小: 5.3 KB
2
0
评论 共 1 条 请登录后发表评论
1 楼 java_user 2011-08-29 12:23
天朝也是利用这个漏洞攻击吗

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Global site tag (gtag.js) - Google Analytics