Сервер Apache уязвим для DoS-атак

Сервер Apache уязвим для DoS-атак

Обнаруженный специалистами, ведущими техническую поддержку веб-сервера Apache, около четырех с половиной лет назад, серьезный пробел в защите дает возможность интернет-взломщикам с помощью единственного компьютера целиком вывести сервер из строя.

Атакующий код назвали “Apache Kill”er, он пользуется уязвимостью Apache при обработке запросов HTTP. Этот код был опубликован в конце прошлой недели в рассылке Full-disclosure. Отправляя сложные GET-запросы на сервера с Apache 1.3 и 2, хакеры перекрывают диапазоны данных, полностью исчерпывают системную память.

Разрабатывающий proof-of-concept код исследователь Кингкоуп дал такой комментарий проблеме: »Посылка параллельных запросов приводит к разрушительным последствиям – полному краху операционной системы, свопуя диск и полностью останавливая рабочие процессы, даже те, что не являются httpd».

Apache Kill”er действует, используя простые веб – клиенты, загружающие какие либо отдельные доли http-документа, либо части байтовых диапазонов поступающие с серверов Apache. В прошлую среду специалисты из Apache объявили, что в течение ближайших трех суток, они создадут защитный патч, а пока администраторами могут быть использованы другие способы защиты, предлагаемые Apache.

Майкл Залевски- специалист по информационной безопасности, сейчас перешедший в Google , обнаруживший в начале 2007 года ошибку Apache при обрабатывании запросов различных диапазонов, заявил, что Apache и IIS не защищены от DoS-атак по причине не совсем приемлемой реализации функциональных способностей заголовков со стандартом HTTP/1.1.

Залевски писал – «При совмещении нами ошибки с функциями масштабирования окон (согласно RFC 1323), то единственным коротким запросом можно будет принудить сервер использовать огромный объем неверных данных понапрасну, вне зависимости от количества коннектов, объема свободной памяти, которой обладает сервер, и ограничениях параметров keep-aliv, заданных администратором».

Со слов электронного письма Залевски за среду так же становится ясно, что он не понимает, почему сразу не было принято ни каких контрмер, видимо, уязвимости просто не придали должного значения из-за отсутствия случаев атак Apache Kill”er.

Джерри Брайант, представляющий Microsoft, опубликовавший свое сообщение спустя некоторое время после высказывания Залевски заявил в нем: “Применяемые в версиях IIS 6.0 и далее встроенные ограничения, сделают их нечувствительными к DoS-атаке».

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

© 2010-2017 www.compserviceufa.ru