Apache: Exploit bringt Webserver zum Absturz
Full Disclosure zu Wort. In technischer Hinsicht baut das zugehörige Script mehrere HTTP-Verbindungen zu dem jeweiligen Webserver auf. Zugleich werden GET-Anfragen mit einem Byte-Range-Header versendet, der 13000 Intervalle umfasst.
Byte Ranges erweisen sich unter anderem dann als vorteilhaft, wenn es zum Abbruch eines Downloads kommt und dieser fortgesetzt werden soll. Der nun ausfindig gemacht Fehler steht in Zusammenhang mit einer Eigenheit des Apache-Webservers, der beim Parsen der komplexen Byte-Range-Anfragen große Teile des Arbeitsspeichers für sich beansprucht.
Dies hat dann letztlich zur Folge, dass die betroffenen Systeme vollständig einfrieren. Auch ein Zugriff per SSH scheint in solchen Fällen nicht mehr möglich zu sein. Nur ein kompletter Neustart der Systeme kann dann für die gewünschte Abhilfe sorgen.
Die Entwickler des Webservers haben bereits auf diese Problematik reagiert und ein Update in Aussicht gestellt. Dieses soll innerhalb von 48 Stunden zur Verfügung stehen und dann umgehend eingespielt werden. Immerhin werde die Schwachstelle bereits aktiv ausgenutzt, heißt es.
Mit dem Proof-of-Concept "Apache Killer" meldet sich der Entdecker dieser DOS-Schwachstelle (Denial of Service) über die Mailingliste Byte Ranges erweisen sich unter anderem dann als vorteilhaft, wenn es zum Abbruch eines Downloads kommt und dieser fortgesetzt werden soll. Der nun ausfindig gemacht Fehler steht in Zusammenhang mit einer Eigenheit des Apache-Webservers, der beim Parsen der komplexen Byte-Range-Anfragen große Teile des Arbeitsspeichers für sich beansprucht.
Dies hat dann letztlich zur Folge, dass die betroffenen Systeme vollständig einfrieren. Auch ein Zugriff per SSH scheint in solchen Fällen nicht mehr möglich zu sein. Nur ein kompletter Neustart der Systeme kann dann für die gewünschte Abhilfe sorgen.
Die Entwickler des Webservers haben bereits auf diese Problematik reagiert und ein Update in Aussicht gestellt. Dieses soll innerhalb von 48 Stunden zur Verfügung stehen und dann umgehend eingespielt werden. Immerhin werde die Schwachstelle bereits aktiv ausgenutzt, heißt es.
Thema:
Neueste Downloads
Jetzt als Amazon Blitzangebot
Ab 06:05 Uhr Shargeek Storm 2, 100 W Laptop-Power Bank, 25600 mAh, weltweit erste durchsichtige Powerbank mit IPS-Bildschirm, DC & 2 USB-C- & USB-Anschlüsse Kompatibel mit iPhone, iPad, Samsung, MacBook Series
Original Amazon-Preis
199,99 €
Im Preisvergleich ab
173,69 €
Blitzangebot-Preis
169,99 €
Ersparnis zu Amazon 15% oder 30 €
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen