Mark Stockley, független web tanácsadó, a Sophos NakedSecurity blogból
Az Apache Software Foundation egy olyan szolgáltatás-megtagadási sérülékenységet jelentett be, amely a mindenhol jelenlevő Apache webszerver összes verzióját érinti, így pedig az összes weboldal akár 65%-a sérülékeny lehet.
Egy szolgáltatás-megtagadási támadás során egy szervert információk tömkelegével árasztják el, emiatt az annyira leterhelődik, hogy megakad és használhatatlan lesz. Normális esetben egy támadónak elég komoly arzenált kell felvonultatnia egy nagy weboldal térdre kényszerítéséhez, de ez a legutóbbi sérülékenység lehetővé teszi a számukra, hogy sokkal kevesebb ráfordítással elérjék céljukat. Őszintén szólva ez az utolsó dolog, amelyre a webnek most szüksége van.
A sérülékenységet egy olyan a webszerverekben található képességgel lehet kihasználni, amellyel Ön szüneteltetni vagy folytatni tudja a letöltéseit. Napjainkban ha letöltését egy ponton megállítja, akkor általában ott tudja folytatni a későbbiekben, és nem kell újból az elejéről elkezdeni letölteni.
Ez a hasznos képesség azért lehetséges, mert egy webszervernek meg lehet mondani, hogy a fájl csak azon részét adja Önnek, amelyre szüksége van. Valójában lehetséges egy adott fájlból több részt is kérni ugyanabban az időben. És ez a probléma. Úgy tűnik, hogy Ön egy egyszerű lekéréssel kérheti egy fájl akár több száz hatalmas egymást fedő részét is. Egy relatíve normális számú lekérés elegendő része kiakaszthatja egy szerver processzorát és memóriáját.
Úgy tűnik, hogy az Apache ezekkel a lekérésekkel kapcsolatban nem igazán bánik hatékonyan, de a kihasználás legalább részben a HTTP protokoll gyengeségében keresendő - a szabályok azon csoportjában, amelyek azt határozzák meg, hogyan kellene egy bármilyen webszervernek viselkednie. Mivel az összes webszerver ugyanazt a szabálycsoportot követi, lehetséges, hogy az összes webszerver bizonyos fokig sérülékeny.
Az ajánlás szerint a vadonban már megjelent egy támadó segédeszköz és használják is. Habár a cikk írásának pillanatában még nem jelent meg javítás, órákon belül várhatóan megérkezik. Időközben a szorgalmas webmesterek valószínűleg megfontolják az ajánlásban kiemelt javító stratégiák véghezvitelét.
Ha általánosabban tekintünk az egész problémára, akkor néhány érdekes kérdés merül fel azzal kapcsolatban, hogy mennyire bölcs dolog az egész webet egy bizonyos szoftverre bízni, legyen az akármilyen jó is.
További információ angol nyelven