2011-08-25 // Ferien + Apache Bug = Evil

Auf de Apache Mailingliste wurde gestern vor einem Fehler in allen aktuellen Apache Webserver Versionen (1.3.x und 2.x) gewarnt. Der Fehler beruht auf einer fehlerhaften Behandlung des Range-Header in einem HTTP-Request. So kann durch sehr geringen Aufwand eine sehr hohe Systemlast erzeugt werden, bis hin zum Stillstand des Systems.

Ein Bugfix soll in den nächsten 48 Stunden erscheinen. Bis dahin kann man als workaround den Range-Header via mod_header oder mod_rewrite deaktivieren. Dies verhindert u.a. die Möglichkeit, Downloads zu pausieren und erneut zu starten.

# Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

Da aktuell noch Ferienzeit ist und bereits ein 1-Click-Tool für Skriptkiddies existiert, dürfte das Wochenende für so manchen Sysadmin kein Vergnügen werden.