Bei der Verarbeitung von Byte-Range-Headern lässt sich ein bislang unbekannter Fehler ausnutzen, um mit einem einzigen PC einen Apache-Webserver 2.2 zum Stillstand zu bringen. Um das Problem eindrucksvoll demonstriert, ist auf der Mailing-Liste Full Disclosure dafür das Perl-Skript "Apache Killer" erschienen.

Das Tool sendet GET-Requests mit mehreren unsortierten "Byte Ranges", was zu einer sehr hohen Speicherbelegung des Systems führt. Dem Browser ermöglichen die Angabe von "Bytes Ranges", etwa nur bestimmte Teile eines Dokuments zu laden. Aber die Angabe mehrerer Teile im Header in unsortierter Folge bringt den Apache offenbar aus dem Tritt.

Zwar gibt es noch keinen offiziellen Patch, als Workaround funktionieren jedoch Rewrite-Regeln, die nur noch einen einzigen Range-Requests in GET und HEAD-Headern erlauben. Das sollte für die meisten Anwendungen kein Problem sein. Administratoren müssen das Modul mod_rewrite im Apache-Webserver laden, um die Regeln zu aktivieren.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE