| |
 |
| Apache 2.0.45 veröffentlicht: DoS-Sicherheitsloch im Apache 2.0.44 |
|
|
Veröffentlicht durch XTaran am Freitag 11. April, 09:42
Aus der Downgraden-oder-Upgraden,-das-ist-hier-die-Frage Abteilung
|
|
|
|
|
golfeninherdecke schreibt "'Complete information about this errata can be found at the RHN .' [Registrierung notwendig] Das Sicherheitsloch erlaubt einem Angreifer eine DoS-Attacke verursacht durch ein Speicherleck. RedHat empfiehlt ein Downdate auf Apache version 2.0.40" Ähm, wieso das denn? In den alten Versionen sind doch ganz andere Lücken drin, insbesondere in Versionen <= 2.0.42. Außerdem ist seit dem 2. April 2.0.45 draußen, der hauptsächlich diese Lücke schließt. (BugTraq-Link von XTaran zur Einsendung hinzugefügt)
|
|
|
|
|
|
|
Inbesondere wurde das Release-Datum wegen dieser Lücke vorgezogen, obwohl die Entwickler eigentlich mit der Veröffentlichung von 2.0.45 warten wollten, bis der BugFix für eine DoS-Möglichkeit unter OS/2 gefixt ist. Diese hat nichts mit der o.g. Lücke zu tun, ist in 2.0.45 immer noch enthalten und wird mit dem in Kürze zu erwartenden 2.0.46 gefixt.
Soweit ich verstanden habe, reicht es bzgl. der gefixten Lücke bei einem Apache 2.0.44 oder älter einfach, statt dem HTTP-Request viele Leerzeilen zu senden und er verbraucht für jede Leerzeile recht viel Speicher (16kB Leerzeilen => mehr als 1 MB Extra-Speicherverbrauch), d.h. es handelt sich mehr oder weniger um ein Speicherleck. Ein Squid als Reverse-Proxy hilft anscheinend auch gegen eine Ausnutzung des Lecks.
Es existieren übrigens auch schon mehrere Exploits für diese Lücke.
|
|
|
|
< Phonoverband: Die Spezifikation der Audio-CD ist uns scheißegal | Druckausgabe | OQO Ultra-PC kommt vermutlich in 2. Jahreshälfte 2003 > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
Redhat empfiehlt ein Upgrade auf 2.0.40 mit allen backports:
All users of the Apache HTTP Web Server are advised to upgrade to the
applicable errata packages containing back-ported fixes applied to Apache
version 2.0.40.
--
There are only 10 types of people in the world: those who understand binary, and those who don't.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ah, ok. Also nicht wirklich ein "Downgrade" wie der Einsender schrieb. Leider kommt man bei dem RHN-Link nur mit Kennung weiter.
--
Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 11. April, 10:10 MES (#3)
|
|
|
|
|
es sieht so aus als waere eine dos-attacke fuer beide apache-versionen "released" worden... (ein ";" statt ein "&"?)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Jetzt wo Du's erwähnst, fällt's mir auch auf. Wird geändert. Danke.
--
Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich denke es ist nicht sooo tragisch, Apache2 ist IMO noch nicht so verbreitet. Oder welchen benutzt ihr (wenn ihr denn ueberhaupt Apache benutzt)?
----------------
Wer gegen ein Minimum
Aluminium immun ist, besitzt
Aluminiumminimumimmunität
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
fnord 1.7 (http://www.fefe.de/fnord/)
|
|
|
|
|
|
|
|
|
|
|
|
|
2.0.x wird meistens deswegen noch nicht verwendet, weil viele der 3rd-Party-Module noch nicht so toll mit ihm funktionieren, mod_perl insbesondere.
Andererseits: Manche Sachen, wie Subversion z.B. gehen einfach noch nicht mit einem 1.3er Apache.
Außerdem ist die Umstellung von 1.3 auf 2.0 in komplexen Umgebungen auch nicht wirklich idiotensicher. Und da der 1.3er nach wie vor gut und zuverlässig funktioniert (wenn auch nicht mehr State of the Art in Sachen Performance und API), sehen viele noch keinen Grund umzustellen.
Ansonsten: Also so tragisch sehe ich die Lücke auch nicht, denn der Traffic-Aufwand für das DoS ist recht hoch, mit 1 oder 2 Paketen àla Ping Of Death ist's da nicht getan, deswegen wird das die Skript-Kiddiez kaum reizen. Wenn ich keine bekannten Feinde habe, würde ich mir da auch keine Sorgen diesbezüglich machen. Wenn ich aber Feinde oder Neider hätte, dann würde ich schnellstens updaten.
--
Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
|
|
|
|
|
|
