apache 拒绝服务(DoS)漏洞警告修复方法
2011-08-26 15:04
609 查看
Apache项目日前发布警告:发现一个Apache http server的拒绝服务(DoS)漏洞,该漏洞可让攻击者轻松地让Apache软件拒绝服务。Apache指出,攻击工具正在坊间广泛流传,并且已经留意到一些活跃分子。
漏洞影响到了Apache的所有版本。该攻击能够在远程发动,并且使Apache HTTP服务器占用大量的内存和CPU资源,而导致无法处理正常的请求。默认安装的Apache更容易受此攻击。
目前尚无相应的补丁或新版本。Apache预计在48小时内将进行修复,发布补丁或是新版本。需要注意的是,该补丁或新版本将针对Apache 2.0及2.2,Apache 1.3则建议弃用。
在完整补丁发布前,Apache给出了以下几个应对措施:
1.启用SetEnvlf和mod_rewrite检测访问中是否有大量的Range,若有的话,则忽略该Range请求头或直接拒绝请求。
Option 1:(适用于Apache 2.0、2.2)
Option 2:(也适用于Apache 1.3)
2.限制访问字段大小为几百字节。
3.使用mod_header来彻底禁止Range header的使用。
4.部署一个Range header计数模块来进行临时的监测。
http://people.apache.org/~dirkx/mod_rangecnt.c
5.及时关注并安装下面链接中发布的补丁:
http://mail-archives.apache.org/mod_mbox/httpd-dev/201108…
更多详情查看:Range header DoS vulnerability Apache HTTPD 1.3/2.x。
漏洞影响到了Apache的所有版本。该攻击能够在远程发动,并且使Apache HTTP服务器占用大量的内存和CPU资源,而导致无法处理正常的请求。默认安装的Apache更容易受此攻击。
目前尚无相应的补丁或新版本。Apache预计在48小时内将进行修复,发布补丁或是新版本。需要注意的是,该补丁或新版本将针对Apache 2.0及2.2,Apache 1.3则建议弃用。
在完整补丁发布前,Apache给出了以下几个应对措施:
1.启用SetEnvlf和mod_rewrite检测访问中是否有大量的Range,若有的话,则忽略该Range请求头或直接拒绝请求。
Option 1:(适用于Apache 2.0、2.2)
1 | # Drop the Range header when more than 5 ranges. |
2 | # CVE-2011-3192 |
3 | SetEnvIf Range (,.*?){5,} bad-range=1 |
4 | RequestHeader unset Range env=bad-range |
5 |
6 | # optional logging. |
7 | CustomLog logs/range-CVE-2011-3192.log common env=bad-range |
1 | # Reject request when more than 5 ranges in the Range: header. |
2 | # CVE-2011-3192 |
3 | # |
4 | RewriteEngine on |
5 | RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$) |
6 | RewriteRule .* - [F] |
1 | LimitRequestFieldSize 200 |
1 | RequestHeader unset Range |
http://people.apache.org/~dirkx/mod_rangecnt.c
5.及时关注并安装下面链接中发布的补丁:
http://mail-archives.apache.org/mod_mbox/httpd-dev/201108…
更多详情查看:Range header DoS vulnerability Apache HTTPD 1.3/2.x。
相关文章推荐
- 【安全牛学习笔记】拒绝服务介绍、DoS分类、个人DoS分类方法
- Apache曝HashTable碰撞拒绝服务漏洞,Java、PHP、Asp.Net及v8引擎等都受影响
- Apache Log4Net远程拒绝服务漏洞
- WordPress存在DoS拒绝服务漏洞,推荐删除根目录下的xmlrpc.php
- mysql+Apache+php环境配置中安装Apache,注册服务出现“(OS 5)拒绝访问的解决方法
- Apache安全加固--修复SSL/TLS弱密码漏洞(中危)和禁用TRACE/TRACK方法(高危)
- 网易视频云:HTTP Slow Attack 科普和 Apache DOS 漏洞的修复
- Apache httpOnly Cookie 泄露漏洞修复方法
- Chargen UDP服务远程拒绝服务攻击漏洞修复教程
- Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞
- 科普HTTP Slow Attack 和 Apache DOS 漏洞的修复
- 拒绝服务介绍、DoS分类、个人DoS分类方法, Syn-Flood、IP地址欺骗
- 本地拒绝服务漏洞修复建议
- BIND DNS拒绝服务漏洞 CVE-2016-2776修复
- 【修复】PHP multipart/form-data头部解析远程拒绝服务漏洞
- Apache Qpid 拒绝服务漏洞2
- WordPress ‘crypt_private()’方法远程拒绝服务漏洞
- PHP5.3.29 multipart/form-data 远程DOS漏洞 修复方法
- 关于php-5.2.x和php-5.3.x hash dos 漏洞攻击与修复
- 检查Linux Bash安全漏洞以及各环境修复解决方法