Grave falha no servidor web Apache possibilita fácil ataque DoS

Há uma falha estranha no Apache que permite derrubar o servidor web com pouco esforço, falha essa possível mesmo na configuração default dele.

Ao enviar requisições GET com vários “byte ranges” (intervalo de bytes) em alguns casos o Apache acaba consumindo muita memória e CPU, podendo “travar” virtualmente mesmo com algumas poucas requisições enviadas de um PC comum. O recurso que permite especificar os bytes desejados serve para baixar arquivos grandes com gerenciadores de download, por exemplo, que vão buscar apenas as partes dos arquivos que interessam, útil ao continuar downloads interrompidos.

Enquanto não há patch ou nova versão, há alguns métodos temporários para se livrar do problema, mesmo que, em alguns casos, se perca a compatibilidade com aceleradores de download.

As ações estão descritas nesta página. Consistem em ignorar o pedido da escolha dos bytes a serem puxados do arquivo, negá-lo completamente ou lidar com algumas outras soluções temporárias.

Mais detalhes, assim como informações da atualização, podem ser encontrados na lista do apache.org, onde ocorre a discussão bastante ativa entre ontem e hoje (veja as mensagens mais recentes, no final).

A falha afeta várias versões do Apache, desde 1.3 a todas as versões 2.x. Vale lembrar que a versão 1.3 é velha e não é mais suportada, indicando que pode ficar de fora da correção.

Ainda para quem lida com servidores: a versão 5.3.8 do PHP atualizada nesta semana corrige um problema sério na função de criptografia, presente na versão 5.3.7. Atualização essencial para quem instalou a versão com o bug.

Fonte: Guia do Hardware

Tags: , , , , , , , , , ,
0 votes, average: 0,00 out of 50 votes, average: 0,00 out of 50 votes, average: 0,00 out of 50 votes, average: 0,00 out of 50 votes, average: 0,00 out of 5 (0 votos, média: 0,00 por 5)
You need to be a registered member to rate this post.
Loading ... Loading ...

Sobre Diablos 4-Ever

Eu não exploro as falhas, São as falhas que me exploram.

Comentários estão fechados.