URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 79994
[ Назад ]
Исходное сообщение
"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."
Отправлено opennews , 26-Авг-11 20:57 
Разработчики проекта Apache опубликовали (http://mail-archives.apache.org/mod_mbox/httpd-announce/2011...) новое уведомление в котором указали на то, что эксплуатируемая через заголовок Range уязвимость (http://www.opennet.me/opennews/art.shtml?num=31582) проявляется так же и для устаревшего заголовка 'Request-Range', поддержка которого оставлена для обеспечения совместимости с  Netscape Navigator 2-3 и MSIE 3.


В связи с этим, ранее приведенные методы защиты (http://www.opennet.me/opennews/art.shtml?num=31582) неэффективны. В дополнение к ним следует добавить в конфигурацию Apache директиву "RequestHeader unset Request-Range" для блокирования работы заголовка Request-Range. Обновление с исправлением уязвимости пока не выпущено, но в SVN-репозиторий уже добавлен патч (http://svn.apache.org/viewvc?view=revision&sortby=date&revis...).


Новые улученные правила блокировки атаки (по сравнению с прошлым вариантом увеличена ...

URL: http://mail-archives.apache.org/mod_mbox/httpd-announce/2011...
Новость: http://www.opennet.me/opennews/art.shtml?num=31602

Содержание
Сообщения в этом обсуждении
"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."
Отправлено Аноним , 26-Авг-11 20:57 
>для обеспечения совместимости с Netscape Navigator 2-3 и MSIE 3.

Вот это я понимаю обратная совместимость!

"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."
Отправлено Аноним , 26-Авг-11 21:39 
Вот это я понимаю, неожиданная ж--а про которую все забыли :)
"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."
Отправлено Аноним , 26-Авг-11 22:22 
Я бы даже сказал обратнейшая :)
"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."
Отправлено Аноним , 26-Авг-11 21:13 
ОМГ, вот это действительно самая настоящая некрофилия.
"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."
Отправлено Аноним , 26-Авг-11 21:37 
В интернете пахло массовым pwnage'м древних опачей :)
"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."
Отправлено Аноним , 26-Авг-11 22:20 
Патч в SVN это круто, но когда будет релиз?
"Для дебианщиков:"
Отправлено бобик , 26-Авг-11 22:21 
Для дебианщиков:

сюда лучше добавлять

/etc/apache2/conf.d/security

"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."
Отправлено umbr , 26-Авг-11 22:48 
Запасаемся попкорном и ждём третьего уведомления :)
"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."
Отправлено Аноним , 26-Авг-11 23:13 
> Запасаемся попкорном и ждём третьего уведомления :)

Запасаемся siege, ab2, запускаем и понимаем что горбатого могила исправит...


"1.3 не поддерживает `RequestHeader unset'"
Отправлено дядька , 27-Авг-11 13:47 
можно просто добавить:

RewriteCond %{HTTP:request-range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."
Отправлено iCat , 28-Авг-11 07:59 
Злопыхателям и похоронщикам просьба не беспокоиться: ещё неизвестно ЧТО может обнаружиться при аудите безопасности альтернатив Apache...
"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."
Отправлено Аноним , 28-Авг-11 18:25 
Пока не обнаружилось, так что лучше вам помалкивать. Алсо, альтернитивы апача хотя бы работают, когда апач тормозит.
"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."
Отправлено Пронин , 29-Авг-11 04:04 
> Пока не обнаружилось, так что лучше вам помалкивать. Алсо, альтернитивы апача хотя бы работают, когда апач тормозит.

Точно так же Apache работает там, где альтернативы "пасуют".
Не бывает "универсальных" инструментов. Для разных задач - и инструменты разные.
Как бы там ни было - Apache работает.