LINUX.ORG.RU

Локальный DoS в apache2 и apache 2.0.47 is out


0

0

Сегодня Secure Net Service (SNS) анонсировала наличие DoS проблемы в apache2. Использовать проблему может только локальный пользователь. Проблема заключается в возможности использовать специально-созданный type-map файл который вызовет рекурсию в сервере apache, в результате рекурсии все доступные ресурсы будут израсходованы. Все версии вплоть до 2.0.46 подвержены данной проблеме.

В свою очередь Apache Software Foundation выпустила новый apache 2.0.47 с исправлоением этой и некоторых других проблем.

>>> Подробности

★★★★★

А между прочим, проблемы с рекурсией в модуле mod_rewrite до сих пор 
актуальны в apache 1.3.x (про 2.х не знаю, ещё не использовал). 

Недавно, случайно почти завалил сервер своего провайдера --- apache 
забрал себе 187 мегабайт за две с половиной минуты, хорошо, что я успел 
его усмирить, закачав файл, на который производилось перенаправление: 

    RewriteEngine On

    RewriteCond	%{REQUEST_FILENAME}	!-f
    RewriteCond	%{REQUEST_FILENAME}	!-d
    RewriteRule	^([^/]+)(/([^/]+))?(/([^/]+))?(\.(x)?html)$	./test.html?uri1=$1\&
;uri2=$3\&uri3=$5	[last,qsappend]

km ★★★
()

кстати - чем хороши патчи к ядру типа grsecurity - процессы,которые начинают выжирать все ресурсы,они убивают сразу - наблюдал лично.

anonymous
()

> кстати - чем хороши патчи к ядру типа grsecurity - процессы,которые начинают выжирать все ресурсы,они убивают сразу - наблюдал лично.

Т.е. если твоей программе вдруг понадобились ресурсы компьютера (ну посчитать там чего-то), то она будет убита и твоя работа пойдет лесом. Я правильно понял?

anonymous
()
Ответ на: комментарий от km


> Недавно, случайно почти завалил сервер своего провайдера

Вообще-то нормальные провайдеры вовсе не случайно устанавливают
лимиты в системе.

anonymous
()
Ответ на: комментарий от anonymous


> процессы,которые начинают выжирать все ресурсы,они убивают сразу

Прочти `help ulimit'. Ограничивает ресурсы без всяких патчей.

anonymous
()

Спорим на ящик пива что ты не сможешь прикрутить грамотно ulimit к апачу ? Ж)

anonymous
()

...;))
Гы, все очень просто;)

Редактируем /etc/security/limits.conf добавив примерно следующее:

@www hard core 0
@www hard rss 5000
@www hard nproc 35

Значения и группу устанавливаете те которые Вам требуются, данный пример продемонстрирован на базе RedHat Linux.

anonymous
()

бля, пипец, побежал сервер апдейтить .........

anonymous
()
Ответ на: комментарий от anonymous

К сожалению для апача без специальных патчей это не работает, а те патчи которые я видел, не решают полностью проблему

anonymous
()
Ответ на: комментарий от anonymous


> Спорим на ящик пива что ты не сможешь прикрутить грамотно ulimit к апачу ?

Спорим. Только маленький нюанс - растолкуй, что ты вкладываешь
в понятие "грамотно".

anonymous
()

Народ, а зачем вообще использовать апач, если есть маленький и аккуратный thttpd?

anonymous
()
Ответ на: комментарий от anonymous

> Народ, а зачем вообще использовать апач, если есть маленький и аккуратный thttpd?

"Не уверен - обгони и убедись" :)

Rem
()
Ответ на: комментарий от anonymous

> Народ, а зачем вообще использовать апач, если есть маленький и аккуратный thttpd?

Да я вооще не панимаю, зачем нужен httpd, если ftpd запросто файлы раздает. Наплодили, панимаешь, протоколов!

anonymous
()

Diomidis Spinellis. Code Reading: The Open Source Perspective.

>Народ, а зачем вообще использовать апач, если есть маленький и аккуратный thttpd?

А зачем делают лялих на 15 CD, если он есть на одной дискете ?

Sun-ch
()

Блин! http,ftp - фигня. telnet <port> - и все!

sabonez ★☆☆☆
()

gopher рулит :D

anonymous
()

Так я не понял ..... 
Решила ли общественность lor хоронить индейца ?
или пусть пока что живёт ?

Будем вываешивать плакаты "Смерт краснокожим!"
или наоборот "В каждую семью по индейцу!"

ezhikov
()
Ответ на: комментарий от ezhikov

> Так я не понял ..... Решила ли общественность lor хоронить индейца ? или пусть пока что живёт ?

"Правительство Молдовы отменило решение правительства Узбекистана относительно границы между Киргизией и Китаем" :)

Rem
()

2anonymous (*) (2003-07-10 09:14:23.153804)Ж
А теперь сам собери апач и посмотри, насколько фиолетовы ему эти настройки.

2all:
в init для http добавить ulimit и всё будет пучком.
Проверено.

anonymous
()

2Rem:
ну примерно это я в виду и имел :)

ezhikov
()

>anonymous (*) (2003-07-10 15:36:46.707466)
Вообще-то все проверено и велеколепно работает!
Группу пользователя под которой работает апач указал?;)

anonymous
()

Diomidis Spinellis. Code Reading: The Open Source Perspective.

>в init для http добавить ulimit и всё будет пучком. Проверено.

Глупые дети, это не будет работать, если есть CGI scripts,

поскольку они не являются потомками apache и не наследуют лимиты.

ttyS0 правильно сказал про RLimitCPU RLimitMem еще есть

RLimitNPROC

>К сожалению для апача без специальных патчей это не работает, а те патчи которые я видел, не решают полностью проблему

И не какие это не патчи а стандартные директивы

Sun-ch
()

Глупые дети :)

anonymous
()

cpu time               (seconds, -t)  unlimited
file size           (512-blocks, -f)  unlimited
data seg size           (kbytes, -d)  98304
stack size              (kbytes, -s)  24576
core file size      (512-blocks, -c)  0
max memory size         (kbytes, -m)  262144
locked memory           (kbytes, -l)  196608
max user processes              (-u)  1024
open files                      (-n)  2560
virtual mem size        (kbytes, -v)  524288
sbsize                   (bytes, -b)  unlimited
- это всё унаследовано от апача.
cgi запускаются через suexec.

anonymous
()
Ответ на: Diomidis Spinellis. Code Reading: The Open Source Perspective. от Sun-ch


> А зачем делают лялих на 15 CD

Ни разу такого "лялиха" не видел. А если и делают на 4-6 CD,
то чтоб бабла побольше с дураков срубить. Все равно реально
работает только один сидюк. В примере с апачем против thttpd
такого мотива нет. Так шта... мимо кассы твой довод. Думай дальше.

anonymous
()
Ответ на: комментарий от anonymous

>Ни разу такого "лялиха" не видел. А если и делают на 4-6 CD,
>то чтоб бабла побольше с дураков срубить. Все равно реально
>работает только один сидюк. В примере с апачем против thttpd
>такого мотива нет. Так шта... мимо кассы твой довод. Думай дальше.

Debian 3.0 - 14CD

anonymous
()
Ответ на: Diomidis Spinellis. Code Reading: The Open Source Perspective. от Sun-ch


> Глупые дети, это не будет работать, если есть CGI scripts,
поскольку они не являются потомками apache и не наследуют лимиты.

О, бля, старый дедушка типа.... а мозгов как у курицы. Назови же нам, детям, тот мифический процесс, который запускает cgi-скрипты. Ну очень интересна послушать.

anonymous
()
Ответ на: комментарий от anonymous


> Debian 3.0 - 14CD

Да это ваще не дистрибутив, а свалка фекалий. Даже на таком вонючем отстойнике, как фрешмит не найдется прог на 14 CD.

anonymous
()

anonymous ([85]*) (2003-07-10 18:53:47.411227)

глюпый дятел, даже не пингвин, архитектуры бывают не только x86

anonymous
()
Ответ на: комментарий от anonymous


2anonymous (*) (2003-07-11 03:04:11.80981)

Ну и хули? Я - дятел, ты - баклан. Архитектуры производятся по-отдельности.

anonymous
()

Кто-нить внятно может ответить, на хрена в наше время нужен
глючный bloatware apache, когда есть куча легких и приятных во
всех отношениях httpd-серверов?

anonymous
()

> если есть CGI scripts

CGI scripts давить за неактуальностью :) Есть mod_php и некоторые другие.

Sergio
()
Ответ на: комментарий от Sergio


> CGI scripts давить за неактуальностью :)

А я вот, наоборот, mod_php подавил за неактуальностью...
Как в mod_php исполнять скрипты под разными юзерами? Может
поделишься секретом? Я уж не говорю про тонны памяти, которые
расходуются впустую в mod_php+apache.

anonymous
()

> Как в mod_php исполнять скрипты под разными юзерами?

То что ты не додумался, это как-бы не проблемы пыха :) Для затравки: http://www.webhostingtalk.ru/cgi-bin/ib3/ikonboard.cgi?s=2cb31f496d273d755a9c...

> Я уж не говорю про тонны памяти, которые расходуются впустую в mod_php+apache.

Уж по крайней мере легче mod_perl + apache или java. А ведь кроме памяти есть еще параметр загрузки процессора, ресурсы которого расходуются быстрее. Но пых и тут на коне.

Sergio
()

Diomidis Spinellis. Code Reading: The Open Source Perspective.

Дядя доктор предупреждает, что запуск

пых-пых скриптов с чужими id весьма опасен для вашего здоровья.

И safe-mode это не панацея. (Там тоже есть дырки)

Sun-ch
()

2 Sun-ch

У нормальных хостеров нет такой проблемы. Все как в танке.

В крайнем случае можно подождать стабильного mod_php под вторую апачу - там, AFAIK, все решено.

Sergio
()
Ответ на: комментарий от anonymous

Конечно, лимиты не помешают, но почему же такая простая ошибка, приводящая к фатальному исходу, не компенсирована собственной защитой apache или mod_rewrite?

km ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.