+7 (495) 778-29-30

Работаем по всей России

Новая серьезная уязвимость веб-сервера Apache

veenio template

Новая серьезная уязвимость веб-сервера Apache

 

Обнаружена уязвимость в  веб-сервере Apache,  позволяющая провести атаку на приложение версии 2.2.х. Уязвимость находится в коде, отвечающем за обработку байтовых диапазонов, указанных в специальных HTTP-заголовках. Как известно, задание байтового диапазона позволяет загружать только определенную часть документа, например с 500-ого по 1000-ный байт. Данные заголовки широко используются, в частности, в менеджерах загрузки файлов для возобновления скачивания после паузы или разрыва соединения, а также позволяют снизить объем передаваемого трафика. Однако как показывает исследование, указание в заголовке нескольких неотсортированных диапазонов может привести к нарушению работы веб-сервера.

 

 

Уже опубликован perl-скрипт, демонстрирующий наличие проблемы и вызывающий падение веб-сервера Apache. Скрипт посылает серверу GET-запрос c заданием нескольких байтовых диапазонов, что при обработке приводит к серьезному увеличению потребления оперативной памяти.

Команда разработчиков пока не представила официального патча для исправления проблемы, однако на данный момент доступно решение, заключающееся в установке правила принимать только запросы с одним заданным байтовым диапазоном, что решит проблему для большинства веб-серверов. Для работы указанного способа необходимо загрузить в веб-сервер Apache модуль mod_rewrite.

Другим средством решения проблемы является использование модуля mod_headers с параметром RequestHeader unset Range, который удаляет из заголовка все содержащиеся в нем байтовые диапазоны. От этого способа больше вреда, чем пользы, поэтому администраторы перед применением любого решения для борьбы с уязвимостью должны проверить его эффективность и влияние на работу веб-сервера.

 

*новость взята с сайта http://linux.org.ru

Новости

Год партнерства с ООО
Прошел уже год с того момента как наша компания стала сертифицированным партнером компании ООО "МТ
Обновлены аппаратные компоненты системы Ascom IP-DECT
16 августа 2012 г. Обновлены аппаратные компоненты системы Ascom IP-DECT, это относится к радиоте
Dell представил SUSE Linux Enterprise Server для клиентов
SUSE первый Linux вендор вступивший в партнерскую программу Dell OEM Technology.   Раунд
IP Office Release 8.0
IP Office Release 8.0   12 декабря 2011 года компания Avaya выпустила 8-ю версию программн
Intel добавит в Linux поддержку интерфейса Thunderbolt
Apple в этом  году анонсировала  интерфейс Thunderbolt, предназначенный для подключения ра
20 лет linux
25 августа 2011 года отмечается официальный день рождения Linux. После 5 месяцев разработки 25 авг
Новая серьезная уязвимость веб-сервера Apache
Новая серьезная уязвимость веб-сервера Apache   Обнаружена уязвимость в  веб-сервере A
Автоматическое обновление Dibian подобных систем
Рассмотрим небольшую утилиту для автоматического обновления пакетов   безопасности для дистрибу
noveltel

НовелТел - современные телекоммуникационные решения.

Тел./факс: +7 (495) 778-29-30

Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

 

 

143002, Московская обл., г. Одинцово, ул. Акуловская, д. 2а

Схема проезда