Schwachstelle macht Webserver Apache für DoS-Attacken anfällig
Im Apache-Webserver 2.0.x wurde eine Schwachstelle entdeckt, mit der Angreifer den Betrieb des Servers durch das Senden präparierter HTTP-GET-Anfragen beeinträchtigen können.
Im Apache-Webserver 2.0.x wurde eine Schwachstelle entdeckt, mit der Angreifer den Betrieb des Servers beeinträchtigen können. Nach Angaben von Chintan Trivedi, Entdecker des Fehlers, reicht es aus, kontinuierlich HTTP-GET-Anfragen mit überlangen Headern an den Server zu senden, die nur aus Leerzeichen bestehen. In der Folge würde der Apache die Prozessorlast des Systems stark erhöhen und nicht mehr antworten.
Nach dem Ende der Attacke soll der Server aber wieder normal weiterarbeiten, ein Reboot ist nicht notwendig. Einen Proof-of-Concept-Exploit hat Trivedi seinem Advisory auf der Mailingliste Full Disclosure beigefügt. Die Apache Foundation hat den Fehler für die aktuelle Linux-Version 2.0.52 und vorhergehende Versionen bestätigt, zunächst aber nur in der Entwicklerversion 2.0.53-dev beseitigt.
Siehe dazu auch: (dab)
- DoS in Apache 2.0.52 von Chintan Trivedi
