форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."	+/–
Сообщение от opennews (??) on 26-Авг-11, 20:57
Разработчики проекта Apache опубликовали (http://mail-archives.apache.org/mod_mbox/httpd-announce/2011...) новое уведомление в котором указали на то, что эксплуатируемая через заголовок Range уязвимость (http://www.opennet.me/opennews/art.shtml?num=31582) проявляется так же и для устаревшего заголовка 'Request-Range', поддержка которого оставлена для обеспечения совместимости с  Netscape Navigator 2-3 и MSIE 3. В связи с этим, ранее приведенные методы защиты (http://www.opennet.me/opennews/art.shtml?num=31582) неэффективны. В дополнение к ним следует добавить в конфигурацию Apache директиву "RequestHeader unset Request-Range" для блокирования работы заголовка Request-Range. Обновление с исправлением уязвимости пока не выпущено, но в SVN-репозиторий уже добавлен патч (http://svn.apache.org/viewvc?view=revision&sortby=date&revis...). Новые улученные правила блокировки атаки (по сравнению с прошлым вариантом увеличена ... URL: http://mail-archives.apache.org/mod_mbox/httpd-announce/2011... Новость: http://www.opennet.me/opennews/art.shtml?num=31602
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."	+14 +/–
Сообщение от Аноним (??) on 26-Авг-11, 20:57
>для обеспечения совместимости с Netscape Navigator 2-3 и MSIE 3. Вот это я понимаю обратная совместимость!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."	+4 +/–
	Сообщение от Аноним (??) on 26-Авг-11, 21:39
	Вот это я понимаю, неожиданная ж--а про которую все забыли :)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	7. "Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."	+2 +/–
	Сообщение от Аноним (??) on 26-Авг-11, 22:22
	Я бы даже сказал обратнейшая :)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."	+1 +/–
Сообщение от Аноним (??) on 26-Авг-11, 21:13
ОМГ, вот это действительно самая настоящая некрофилия.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."	+1 +/–
Сообщение от Аноним (??) on 26-Авг-11, 21:37
В интернете пахло массовым pwnage'м древних опачей :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."	+/–
Сообщение от Аноним (??) on 26-Авг-11, 22:20
Патч в SVN это круто, но когда будет релиз?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Для дебианщиков:"	+1 +/–
Сообщение от бобик on 26-Авг-11, 22:21
Для дебианщиков: сюда лучше добавлять /etc/apache2/conf.d/security
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."	+/–
Сообщение от umbr (ok) on 26-Авг-11, 22:48
Запасаемся попкорном и ждём третьего уведомления :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."	+1 +/–
	Сообщение от Аноним (??) on 26-Авг-11, 23:13
	> Запасаемся попкорном и ждём третьего уведомления :) Запасаемся siege, ab2, запускаем и понимаем что горбатого могила исправит...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "1.3 не поддерживает `RequestHeader unset'"	+/–
Сообщение от дядька on 27-Авг-11, 13:47
можно просто добавить: RewriteCond %{HTTP:request-range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$) RewriteRule .* - [F]
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."	+1 +/–
Сообщение от iCat (ok) on 28-Авг-11, 07:59
Злопыхателям и похоронщикам просьба не беспокоиться: ещё неизвестно ЧТО может обнаружиться при аудите безопасности альтернатив Apache...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."	+/–
	Сообщение от Аноним (??) on 28-Авг-11, 18:25
	Пока не обнаружилось, так что лучше вам помалкивать. Алсо, альтернитивы апача хотя бы работают, когда апач тормозит.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Найден способ обхода методов защиты от DoS-уязвимости в HTTP..."	+/–
	Сообщение от Пронин on 29-Авг-11, 04:04
	> Пока не обнаружилось, так что лучше вам помалкивать. Алсо, альтернитивы апача хотя бы работают, когда апач тормозит. Точно так же Apache работает там, где альтернативы "пасуют". Не бывает "универсальных" инструментов. Для разных задач - и инструменты разные. Как бы там ни было - Apache работает.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема