https://opennet.me/openforum/vsluhforumID3/79966.html В http-сервере Apache найдена (http://www.gossamer-threads.com/lists/apache/dev/401638) опасная уязвимость, позволяющая вызвать отказ в обслуживании через исчерпание всей доступной памяти. Опасность уязвимости усугубляется тем, что для её осуществления уже доступен готовый эксплоит (http://seclists.org/fulldisclosure/2011/Aug/175), позволяющий совершить атаку с одной машины с генерацией минимального трафика.<br><br><br>Проблема вызвана ошибкой (https://issues.apache.org/bugzilla/show_bug.cgi?id=51714) в реализации поддержки загрузки части файла по указанному диапазону (Range). Ошибка связана с тем, что при обработке запроса, содержащего большое число диапазонов (например, "Range:bytes=0-,5-1,5-2,5-3,...,5-1000"), расходуется слишком много памяти. Для исчерпания памяти достаточно отправить около 50 подобных запросов на сервер. <br><br><br>Проблема присутствует в Apache 2.x, включая последний релиз 2.2.19. Исправление пока доступно в виде патча (http://www.gossamer-threads.com/lists/apache/dev/401638)...<br><br>URL: http://secunia https://opennet.me/openforum/vsluhforumID3/79966.html#124 Fri, 23 Sep 2011 15:38:28 GMT &gt; апач -- не самое вкусное место даже и не для очень юного хаксора. <br><br>Тем не менее, любителей уронить вывешенный напрямую апач в интернете навалом.<br><br> https://opennet.me/openforum/vsluhforumID3/79966.html#123 Tue, 06 Sep 2011 13:18:47 GMT заменить на <br>RequestHeader set Range "badrange" env=bad-range<br> https://opennet.me/openforum/vsluhforumID3/79966.html#122 Mon, 05 Sep 2011 14:47:26 GMT &gt; А вот опач будучи вывешенным в интернет как есть - просто находка для юного хаксора. <br><br>Это смотря какой и что за ним дальше болтается... думаю, у меня апач -- не самое вкусное место даже и не для очень юного хаксора. Хотя модуль неуловимости помогает ещё больше. :)<br> https://opennet.me/openforum/vsluhforumID3/79966.html#121 Mon, 05 Sep 2011 13:03:41 GMT &gt; (косясь на 1.3 за nginx) Кто ж вам даст-то 200 коннекшенов прямо к бэкенду?<br><br>Во-во, костыль подставили - и вроде уже и не инвалид :). Вы б еще кеш на нжинксе настроили и сказали что апач не тормозит :D. Хотя не тормозит - нжинкс. А вот опач будучи вывешенным в интернет как есть - просто находка для юного хаксора.<br> https://opennet.me/openforum/vsluhforumID3/79966.html#120 Mon, 29 Aug 2011 08:03:49 GMT &gt;&gt; Врут? Не вижу никаких проблем с apache 1.3.x <br>&gt; У меня такое ощущение уже несколько лет<br><br>+100. У меня до сих пор почти везде 1.3.x. Но, <br>к сожалению, закапывают они довольно успешно. :(<br><br> https://opennet.me/openforum/vsluhforumID3/79966.html#119 Mon, 29 Aug 2011 07:53:24 GMT У меня такая проблема: <br>При использовании SetEnvIf для Apache 2.0 и 2.2:<br>выдает header unset takes two arguments<br>в строке RequestHeader unset Range env=bad-range<br>как починить?<br><br>Apache/2.0.63<br> https://opennet.me/openforum/vsluhforumID3/79966.html#118 Mon, 29 Aug 2011 06:31:14 GMT &gt; Если Ваша защита базируется на незнании версий ПО заинтересованной стороной,<br>&gt; то грош-цена такой защите.<br><br>Если Вы делаете такие выводы, то грош цена как раз им.<br><br>&gt; Вот например в банковском секторе [...] уверенности<br><br>Ой, вот только не надо про банки и прочих локхидмартинов.<br> https://opennet.me/openforum/vsluhforumID3/79966.html#117 Mon, 29 Aug 2011 06:29:07 GMT &gt; Врут? Не вижу никаких проблем с apache 1.3.x<br><br>У меня такое ощущение уже несколько лет, что какие-то к... колхозники из числа бывших студентов, дорвавшихся до кодовой базы apache-2.0, упор{н,от}о пытаются закопать этот работающий production код, чтоб их поде^H^Wтворение поскорей расползлось.<br> https://opennet.me/openforum/vsluhforumID3/79966.html#116 Mon, 29 Aug 2011 06:15:17 GMT &gt; Какая разница, свалить апач кривыми запросами или 200 соединениями?<br><br>(косясь на 1.3 за nginx) Кто ж вам даст-то 200 коннекшенов прямо к бэкенду?<br>