A
Данная уязвимость имеет отношения к версиям младше 2.2.20.
В популярном веб-сервере Apache HTTPD в августе была обнаружена критическая уязвимость, которая позволяет злоумышленникам исчерпать ресурсы на сервере за счет неправильной обработки поля HTTP-заголовка Range: Bytes. Данное поле позволяет клиенту загружать файл с сервера по частям, используя заданные диапазоны байт. При обработке большого числа диапазонов Apache расходует много памяти, применяя к каждому диапазону gzip-сжатие. В конечном счете, это может привести к отказу в обслуживании, если только в конфигурации веб-сервера не прописан лимит на размер выделяемой под процесс памяти. Уязвимыми являются версии приложений 2.0.x, включая 2.0.64, и 2.2.x, включая 2.2.19.
Также со стороны Apache сообщалось, что данную DoS-атаку активно эксплуатировали с использованием распространенного в интернете perl-скрипта. До выхода патча в качестве временного решения специалисты рекомендовали системным администраторам включить в конфигурацию сервера специальные настройки, позволяющие детектировать запрос множества диапазонов с последующим игнорированием поля Range либо отклонением всего запроса.
В настоящее время в версиях 2.2.20 и 2.2.21 данная уязвимость устранена, однако версия 2.0.65 с обновлениями безопасности пока так и не была выпущена.
В популярном веб-сервере Apache HTTPD в августе была обнаружена критическая уязвимость, которая позволяет злоумышленникам исчерпать ресурсы на сервере за счет неправильной обработки поля HTTP-заголовка Range: Bytes. Данное поле позволяет клиенту загружать файл с сервера по частям, используя заданные диапазоны байт. При обработке большого числа диапазонов Apache расходует много памяти, применяя к каждому диапазону gzip-сжатие. В конечном счете, это может привести к отказу в обслуживании, если только в конфигурации веб-сервера не прописан лимит на размер выделяемой под процесс памяти. Уязвимыми являются версии приложений 2.0.x, включая 2.0.64, и 2.2.x, включая 2.2.19.
Также со стороны Apache сообщалось, что данную DoS-атаку активно эксплуатировали с использованием распространенного в интернете perl-скрипта. До выхода патча в качестве временного решения специалисты рекомендовали системным администраторам включить в конфигурацию сервера специальные настройки, позволяющие детектировать запрос множества диапазонов с последующим игнорированием поля Range либо отклонением всего запроса.
В настоящее время в версиях 2.2.20 и 2.2.21 данная уязвимость устранена, однако версия 2.0.65 с обновлениями безопасности пока так и не была выпущена.