Найден способ обхода методов защиты от DoS-уязвимости в HTTP-сервере Apache

Разработчики проекта Apache опубликовали новое уведомление, в котором указали на то, что эксплуатируемая через заголовок Range уязвимость проявляется также и для устаревшего заголовка 'Request-Range', поддержка которого оставлена для обеспечения совместимости с Netscape Navigator 2-3 и MSIE 3.

В связи с этим ранее приведенные методы защиты неэффективны. В дополнение к ним следует добавить в конфигурацию Apache директиву "RequestHeader unset Request-Range" для блокирования работы заголовка Request-Range. Обновление с исправлением уязвимости пока не выпущено, но в SVN-репозиторий уже добавлен патч.

Новые улучшенные правила блокировки атаки (по сравнению с прошлым вариантом увеличена производительность и учтены новые типы проведения атаки):



Для Apache 2.2:

          SetEnvIf Range (?:,.*?){5,5} bad-range=1
          RequestHeader unset Range env=bad-range
          RequestHeader unset Request-Range
          CustomLog logs/range-CVE-2011-3192.log common env=bad-range


Для Apache 2.x и 1.3:

          RewriteEngine on
          RewriteCond %{HTTP:range} !(bytes=[^,]+(,[^,]+){0,4}$|^$)
          RewriteRule .* - [F]
          RequestHeader unset Request-Range







Вас также может заинтересовать:

Найден способ борьбы с хакерскими атаками на е107
Оценка методов усиления трафика при организации DDoS-атак
30.11.2010 - Международный день защиты информации
Найди способ выйти из комнаты [флеш головоломка]
Использование geoip модуля nginx для защиты от ddos атак
Представлен способ взлома MS-CHAPv2, по трудоёмкости идентичный подбору DES