Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞

BUGTRAQ ID: 49303 CVE ID: CVE-2011-3192 Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器，可以在大多数电脑操作系统中运行，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。 Apache HTTP Server在处理Range选项生成回应时存在漏洞，远程攻击者可能利用此漏洞通过发送恶意请求导致服务器失去响应，导致拒绝服务。 此漏洞源于Apache HTTP Server在处理Range头选项中包含的大量重叠范围指定命令时存在的问题，攻击者可通过发送到服务器的特制HTTTP请求耗尽系统资源，导致Apache失去响应，甚至造成操作系统资源耗尽。 Apache 2.x Apache 1.3 临时解决方法： 在厂商提供官方补丁或新版本软件之前，建议用户采用如下的配置方案之一以尽可能免受漏洞的影响： * 使用SetEnvIf配置命令来忽略畸形的Ranger选项，适用于Apache 2.0和2.2 。 修改Apache的配置文件httpd.conf。 去掉如下行的注释： LoadModule headers_module modules/mod_headers.so 增加如下行的配置命令： SetEnvIf Range (,.*?){5,} bad-range=1 RequestHeader unset Range env=bad-range 重启Apache服务器。 * 安装启用mod_rewrite，设置规则过滤规则禁止带有畸形的Ranger选项的请求，适用于所有版本的 Apache 。 修改Apache的配置文件httpd.conf。 去掉如下行的注释： LoadModule rewrite_module modules/mod_rewrite.so 加入如下的mod_rewrite的规则配置行： RewriteEngine on RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$) RewriteRule .* - [F] 重启Apache服务器。 上述两种配置会禁止Range选项包含超过5个范围指定命令的请求，在通常应用场景中对Web应用应该不会有什么影响，如果Web应用提供PDF数据或流媒体信息，可能需要调整阈值到更大的数值。 厂商补丁： Apache Group ------------ 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.apache.org