| |
|
|
| | В http-сервере Apache найдена опасная уязвимость, позволяющая вызвать отказ в обслуживании через исчерпание всей доступной памяти. Опасность уязвимости усугубляется тем, что для её осуществления уже доступен готовый эксплоит, позволяющий совершить атаку с одной машины с генерацией минимального трафика. При отсутствии отдельных лимитов на размер выделяемой Apache памяти, после выполнения эксплоита наблюдается полное исчерпание памяти с уходом в бесконечный своппинг без возможности зайти в консоль.
Проблема вызвана ошибкой в реализации поддержки загрузки части файла по указанному диапазону (например, после обрыва соединения можно запросить загрузку начиная с определенной позиции). Ошибка связана с тем, что при обработке запроса, содержащего большое число диапазонов (например, "Range:bytes=0-,5-1,5-2,5-3,...,5-1000") в сочетании с использованием gzip-сжатия отдаваемого контента, расходуется слишком много памяти. Например, если в заголовке Range передана тысяча диапазонов, то Apache пытается отдельно сжать каждый диапазон. Так как каждая операция сжатия требует достаточно много памяти (даже для сжатия одного байта выделяется буфер для сжатия блока), в сумме легко исчерпать всю доступную память. Для осуществления удачной атаки достаточно отправить около 50 подобных запросов с составным Range на сервер.
Проблема присутствует в Apache 2.2.x, включая последний релиз 2.2.19. Исправление пока доступно в виде патча. Также имеется несколько способов временной защиты, не требующих пересборки Apache. Например, можно принудительно очищать заголовок Range при помощи mod_header ("RequestHeader unset Range") или блокировать длинные последовательности Range через mod_rewrite.
http://www.opennet.ru/opennews/art.shtml?num=31582 | |
| |
|
|
| |
|
|
| |
для: Гость
(25.08.2011 в 11:03)
| | | Себе на серверы поставил временные заплатки. Так как все мои сервека оказались под ударом (не смотря на то что крутятся под nginx). Видимо в ближайшие дни соберусь и закрою нафиг доступ к бекэнду в обход nginx-а. Что характерно интересно предложенное решение проблемы (http://www.gossamer-threads.com/lists/apache/dev/401638) - ограничить число чанков десятью. Не самое элегантное решение. | |
| |
|
|
| |
|
|
| |
для: Гость
(25.08.2011 в 11:12)
| | | хорошо у кого-то тыковка работает, а "мы" тут с ведерком и совочком пытаемся от DDOS средствами РНР защититься :) | |
| |
|
|
| |
|
|
| |
для: Valick
(25.08.2011 в 12:23)
| | | Защита от DDOS должна быть на более высоком уровне) Иначе эта защита похоже на попытки отбивать протухшие яйца ракетками, вместо того что бы поставить стену с дверью для пользователей :) | |
| |
|
|
| |
|
|
| |
для: Гость
(25.08.2011 в 12:34)
| | | а я думаю что на более низком уровне)) на уровне железа)
я про то что время от времени возникают темы о защите на уровне РНР на форуме | |
| |
|
|
| |
|
|
| |
для: Valick
(25.08.2011 в 12:37)
| | | У нас с вами верх и низ просто в разных сторонах оказался :) | |
| |
|
|
