Apache: Exploit bringt Webserver zum Absturz

Mit einem jüngst veröffentlichten Exploit lassen sich aktuelle Versionen des häufig zum Einsatz kommenden Apache-Webserver zum Absturz bringen. Dies scheint offenbar innerhalb von wenigen Sekunden möglich zu sein. Mit dem Proof-of-Concept "Apache Killer" meldet sich der Entdecker dieser DOS-Schwachstelle (Denial of Service) über die Mailingliste Full Disclosure zu Wort. In technischer Hinsicht baut das zugehörige Script mehrere HTTP-Verbindungen zu dem jeweiligen Webserver auf. Zugleich werden GET-Anfragen mit einem Byte-Range-Header versendet, der 13000 Intervalle umfasst.

Byte Ranges erweisen sich unter anderem dann als vorteilhaft, wenn es zum Abbruch eines Downloads kommt und dieser fortgesetzt werden soll. Der nun ausfindig gemacht Fehler steht in Zusammenhang mit einer Eigenheit des Apache-Webservers, der beim Parsen der komplexen Byte-Range-Anfragen große Teile des Arbeitsspeichers für sich beansprucht.

Dies hat dann letztlich zur Folge, dass die betroffenen Systeme vollständig einfrieren. Auch ein Zugriff per SSH scheint in solchen Fällen nicht mehr möglich zu sein. Nur ein kompletter Neustart der Systeme kann dann für die gewünschte Abhilfe sorgen.

Die Entwickler des Webservers haben bereits auf diese Problematik reagiert und ein Update in Aussicht gestellt. Dieses soll innerhalb von 48 Stunden zur Verfügung stehen und dann umgehend eingespielt werden. Immerhin werde die Schwachstelle bereits aktiv ausgenutzt, heißt es. Server, HTTP, Apache apache