登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于Apache HTTP Server存在拒绝服务0day漏洞的情况通报

2011-11-24 17:07:51

 

 

 

安全公告编号:CNTA-2011-0029

 

 

 

公告描述:

 

 

近日,国家信息安全漏洞共享平台(CNVD)收录了Apache HTTP Server存在的拒绝服务漏洞(CNVD-2011-06943)。攻击者可以利用漏洞发起远程攻击,导致服务器主机系统资源耗尽以致无法响应正常请求。由于Apache HTTP Server应用极其广泛,漏洞利用方法简单,且互联网上已经出现了攻击代码,各单位需注意加强安全防范措施。相关情况通报如下:

一、漏洞情况分析

根据CNVD分析结果,Apache HTTP Server在处理HTTP请求包中Range选项时存在不安全策略(Range头选项定义了页面文件的分片请求方式)。攻击者通过设置较大的Range头选项阈值以构造尽可能多的、请求不同大小页面文件的指令,以达到消耗服务器内存和CPU资源的目的。攻击者还可以通过加载 “Accept-Encoding”选项进行了请求指令进行组合封装,则会进一步增强攻击的效果。轻则导致Apache无法响应正常的用户请求,严重的还会导致服务器系统资源耗尽。

根据CNVD测试结果,攻击者可以利用较小的代价实现对目标服务器的拒绝服务攻击。对于硬件配置情况较差的服务器系统,在短时间内被攻击成功的风险更大。

二、漏洞影响范围

CNVD对该漏洞的技术评级为“中危”。但由于该漏洞影响涉及Apache HTTP Server已知所有版本,对相关用户的网站信息系统构造较为严重的威胁。

三、漏洞处置建议

目前,厂商尚未提供官方补丁或新版本软件,CNVD建议用户采用以下临时解决方案来降低遭受攻击的风险:

(一)使用SetEnvIf配置命令来忽略畸形的Ranger选项,适用于Apache 2.0和2.2。

1.修改Apache的配置文件httpd.conf,去掉如下行的注释:

LoadModule headers_module modules/mod_headers.so

2.并增加如下配置命令:

SetEnvIf Range (,.*?){5,} bad-range=1

RequestHeader unset Range env=bad-range

其中,{5,}是Range阈值限制条件。

3.配置完成后重启Apache服务器。

(二)安装启用mod_rewrite模块,设置过滤规则拒绝带有畸形Ranger选项的请求,适用于所有版本的Apache。

1.修改Apache的配置文件httpd.conf,去掉如下行的注释:

LoadModule rewrite_module modules/mod_rewrite.so

2.加入如下的mod_rewrite的规则配置行:

RewriteEngine on

RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4} |^ )

RewriteRule .* - [F]

3.配置完成后重启Apache服务器。

需要说明的是,上述临时解决方案主要是让Apache应对Range头选项阈值超过5时的疑似攻击请求,不会对一般的Web应用造成影响。但如果Web应用中提供PDF数据、视频流媒体等信息,则需要调整Range头选项阈值到更大的数值。

Apache官方网站提供的解决建议参考:

http://mail-archives.apache.org/mod_mbox/httpd-dev/201108.mbox/%3cCAAPSnn2PO-d-C4nQt_TES2RRWiZr7urefhTKPWBC1b+K1Dqc7g@mail.gmail.com%3e 

 CNVD将持续跟踪漏洞处置情况,如需技术支援,请联系CNVD。联系电话:010-82990286,邮箱:vreport@cert.org.cn,网站:www.cnvd.org.cn

注:CNVD成员单位国家互联网应急中心、神州绿盟公司、安天公司、知道创宇公司、恒安嘉新公司参与完成漏洞分析。

 

 

 

 

发布日期:2011-08-30 11:09:16

 

 

 

 

参考信息:

 

 

 

信息提供者:

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论