Noch ein Apache-Update wegen des Byte-Range-Fehlers

Im Wesentlichen sei Version 2.2.21 des freien Webservers der Apache-Foundation eine Bugfix- und Sicherheitsrelease, heißt es in der Ankündigung. Konzentriert haben sich die Entwickler auf die Schwachstelle, die Denial-of-Service-Angriffe ermöglicht.

Die neue Version korrigiert und ergänzt den ersten, vor zwei Wochen erschienen Fix. Sie behebt eine Inkompatibilität mit der HTTP-Definition und passt die Interpretation der MaxRange-Direktive an. Außerdem beseitigt sie Fehler im Modul mod_proxy_ajp, das das Apache JServ Protocol verarbeitet.

Anwender sollen möglichst schnell ihre Apache-Installation aktualisieren. Wer Apache 2.0 benutzt, muss sich allerdings noch gedulden: Korrekturen dafür sollen demnächst mit Version 2.0.65 erscheinen. Nutzer der alten Version 1.3 sind von dem Byte-Range-Bug nicht betroffen.

In einem Online-Dokument erläutern die Apache-Entwickler den Hintergrund der Byte-Range-Schwachstelle. Sie beschreiben dort auch diverse Möglichkeiten zum Schutz des Webservers vor DoS-Attacken, die diese Lücke ausnutzen. Außerdem verweisen sie auf die Überlegungen bei der für den HTTP-Standard zuständigen IETF zum Thema Byte-Range. Dort hält man das Protokoll selbst für anfällig für DoS-Angriffe, etwa durch viele kleine oder überlappende Byte-Range-Requests.

Änderungen im RFC 2616 sollen das korrigieren. Demzufolge sollen Clients keine überlappenden Byte-Ranges mehr schicken dürfen, und Server dürfen sie zu einem Range zusammenfassen. Der Abstand zwischen je zwei Ranges in einem Request muss größer als 80 Bytes sein, und die einzelnen Abschnitte müssen in aufsteigender Reihenfolge aufgeführt sein. (ck)