apache 拒绝服务(DoS)漏洞警告修复方法 | 系统运维

现在的位置: 首页＞运维|APPServer＞正文

RSS

apache 拒绝服务(DoS)漏洞警告修复方法

发表于269 天前 ⁄ 运维|APPServer ⁄ 暂无评论 ⁄ 被围观 +

Apache项目日前发布警告：发现一个Apache http server的拒绝服务（DoS）漏洞，该漏洞可让攻击者轻松地让Apache软件拒绝服务。Apache指出，攻击工具正在坊间广泛流传，并且已经留意到一些活跃分子。

漏洞影响到了Apache的所有版本。该攻击能够在远程发动，并且使Apache HTTP服务器占用大量的内存和CPU资源，而导致无法处理正常的请求。默认安装的Apache更容易受此攻击。

目前尚无相应的补丁或新版本。Apache预计在48小时内将进行修复，发布补丁或是新版本。需要注意的是，该补丁或新版本将针对Apache 2.0及2.2，Apache 1.3则建议弃用。

在完整补丁发布前，Apache给出了以下几个应对措施：

1．启用SetEnvlf和mod_rewrite检测访问中是否有大量的Range，若有的话，则忽略该Range请求头或直接拒绝请求。
Option 1：（适用于Apache 2.0、2.2）

# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range

Option 2：（也适用于Apache 1.3）

# Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

2．限制访问字段大小为几百字节。