Apache-Update behebt Byte-Range-Schwachstelle
Version 2.2.20 des Apache-Webservers lässt sich nicht mehr durch präparierte Byte-Ranges aus dem Tritt bringen.
- Daniel Bachfeld
Die Apache Foundation hat Version 2.2.20 ihres HTTP Servers veröffentlicht, in der die kritische DoS-Schwachstelle beseitigt ist. Eine Vielzahl verschachtelteter Byte-Range-Angaben in GET- oder HEAD-Requests führt zu einem hohen Speicherverbrauch des Apache-Webservers. Mehrere derartiger Anfragen können einen Server zum Stillstand bringen.
Ein Tool zur Demonstration des Problems ist seit einer Woche im Umlauf. Berichte über Angriffe auf bekannter Websites gab es allerdings nicht.
Administratoren können nach der Installation des Patches die Workarounds zum Filtern oder Umschreiben von Byte-Range rückgängig machen. Unter Umständen führten die Workarounds dazu, dass sich Downloads nicht fortsetzen lassen oder WebDAV nicht korrekt funktioniert. (dab)
