Специалисты по поддержке веб-сервера Apache спешат исправить серьезную
уязвимость, которая позволяет хакерам при помощи одного единственного компьютера
полностью отключить сервер. Впервые этот баг был обнаружен 54 месяца назад.
Код атаки окрестили "Apache Killer", он использует уязвимость Apache в
обработке HTTP-запросов. Сам рабочий код опубликовали в пятницу в
рассылке Full-disclosure. При помощи отправки на серверы с Apache 1.3 и 2
сложных GET-запросов, содержащих перекрывающиеся диапазоны данных, хакер может
исчерпать всю память системы.
"Последствия разрушительны, все может кончиться тем, что операционная система
будет приведена в негодность если запросы будут посылаться параллельно", -
прокомментировал уязвимость Кингкоуп, исследователь, которому доверили
написание proof-of-concept кода. "Симптомы - своп на диск и прекращение работы
процессов, причем не только httpd".
DoS–атака работает с использованием обычных веб-клиентов, которые загружают
только определенные части или байтовые диапазоны http-документа с сервера Apache.
Указав в http-заголовке перекрывающиеся диапазоны, хакер с легкостью может
привести систему в негодность. В среду утром разработчики Apache заявили, что
они надеются выпустить патч в течение следующих 96 часов.
Администраторы пока могут использовать другие обходные методы защиты,
предоставляемые Apache.
Ошибка Apache в обработке запросов разных диапазонов была обнаружена в январе
2007-го Майклом Залевски, специалистом по безопасности, который впоследствии
перешел на работу в Google. Он заявил о том, что IIS и Apache уязвимы к
DoS-атакам из-за более чем странной реализации функциональных возможностей
заголовков стандарта HTTP/1.1.
"Если мы совместим ошибку с функцией масштабирования окна (согласно RFC
1323), то я думаю единственный короткий запрос сможет заставить сервер потребить
гигабайты ложных данных впустую, независимо от объема памяти сервера, количества
соединений или ограничений параметра keep-aliv, установленного администратором",
- писал Залевски. "Упс?".
В электронном письме, посланном Залевски в среду, он пишет: "Не понимаю,
почему они ничего не предприняли еще тогда, возможно, просто не заметили эту
уязвимостей ввиду отсутствия прецедентов атак".
В сообщении, опубликованном через несколько часов после этого, Джерри Брайант,
представитель Microsoft, заявил: "Версии IIS 6.0 и более поздние не
чувствительны к DoS-атаке благодаря встроенным ограничениям".