Cómo heise Security ha comunicado ayer, hay un problema en Apache2 actual a servidores de Web de la versión 2/2/x que se presenta en GET-Requests con varia "categoría de byte" y puede ser utilizado dejar coger de improviso RAM de la meta atacada que puede llevar a la caída del servidor de Web o incluso todo el servidor. Mi observación es que cada instalación no es igual achacosa.

Si bien, algo es abrasado en un ataque con el Exploit código en el CPU resultado, el consumo RAM sube alrededor de algún MB hunder, no basta sin embargo en los sistemas bajo mi control traer éste del paso – al menos no con sólo un ordenador que ataca y en 1000 + Threads.

Pasos al vapor de la amenaza son o la exclusión de la categoría de byte en Config del módulo Header que podría tener sin embargo junto al desactivar completo de “descargas resumable” todavía consecuencias más pesan pesadas o sin embargo el limitar el número de Range-Requests via mod_rewrite. Me tengo firmemente como supuestamente los máximos para la segunda solución.

Estas instrucciones se refieren a un sistema de servidor con Debian Linux. Con el empleo de una otra distribución senderos de fichero tienen que ser adaptados dado el caso.
Con eso el código siguiente tiene que ser incorporado en cada VHost (p. ej., después de la DocumentRoot directiva):

# Apache2 Range-Request Rewrite Fix
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC]
RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(\s*,\s*[0-9]*-[0-9]*)+
RewriteRule .* - [F]

Dado que tengo pocas ganas de incorporar manualmente en cada VHost, desalmaceno en un fichero propio en/etc/apache2/conf.d/antiapachekiller e incorporo Include/etc/apache2/conf.d/antiapachekiller en cada VHost después de DocumentRoot. Porque tengo que hacer en bastante muchos lados, he automatizado con este Skiptchen. ¡Éste puede estar en el cualquier lugar, el sendero con las VHost definiciones está montado firmemente (y tendría que ser adaptado en desviaciones), y Backup de la Apache lista antes es sido aconsejable urgentemente! Dieses kann an beliebiger Stelle liegen, der Pfad mit den VHost-Definitionen ist fest eingebaut (und müsste bei Abweichungen angepasst werden), und ein Backup des Apache-Verzeichnisses vorher wird dringend empfohlen!

#!/bin/bash
cp -rvp /etc/apache2/sites-available/ /tmp/
cd /tmp/sites-available/
FILES=`ls *.conf`
for FILE in $FILES
do
echo $FILE
cat $FILE | perl -ne 'print $_; print \
"Include /etc/apache2/conf.d/antiapachekiller\n" \
if ($_ =~ /DocumentRoot/ )' > /etc/apache2/sites-available/$FILE
done

Hasta si ningún Backup propio era colocado antes, los ficheros de original están después del empleo del manuscrito todavía en/tmp/sites-available/
Después VHosts debían ser revisados al menos todavía parecido a pruebas al azar y luego el indio de nuevo ser cargado (/etc/init.d/apache2 reload).