symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
DoS-Lücke in Apache
Veröffentlicht durch Raffzahn am Montag 29. September, 11:39
Aus der gaehn Abteilung
Security hansmi schreibt "Wie der Heiseticker berichtet wurde im Apache 2.0 ein Fehler gefunden, der für DoS-Attacken benutzt werden kann. Um die Lücke ausnutzen muss man aber mindestens die Möglichkeit haben, ein eigenes CGI-Script auf dem Server auszuführen."

hansmi erklärt weiter: "Wenn mehr als 4096 Zeichen auf stderr (filedescriptor 2) ausgegeben werden, führt dies dazu, dass der betreffende httpd-Prozess einfriert. Wenn nun das Script genügend viele Male aufgerufen wird nimmt der Webserver keine Anfragen mehr an und ist somit "ge-DoS-t"(*1).

Weitere Informationen findet man im Bugzillaeintrag auf der Apacheseite."

(*1) Komische definition von DoS ...

DigitalPhone Erfahrungen | Druckausgabe | Neue Zaurusse in Europa? Gerüchteküche brodelt  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Heise
  • eintrag
  • hansmi
  • bericht
  • Apache
  • DoS-Attacken
  • CGI-Script
  • Mehr zu Security
  • Auch von Raffzahn
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Hm? (Score:2)
    Von tr0nix am Monday 29. September, 11:50 MET (#1)
    (User #741 Info) http://www.secuserv.ch
    Wieso komische Definition?


    ----------------
    Wer gegen ein Minimum
    Aluminium immun ist, besitzt
    Aluminiumminimumimmunität
    CGI (Score:2, Interessant)
    Von Seegras am Monday 29. September, 11:55 MET (#2)
    (User #30 Info) http://www.discordia.ch
    Mit einem CGI kann ich den Server eh DoS-en, mit einem einfachen fork().
    ­--
    "The more prohibitions there are, The poorer the people will be" -- Lao Tse
    Re:CGI (Score:2)
    Von bones am Monday 29. September, 12:34 MET (#3)
    (User #481 Info) http://www.p-guhl.ch
    Ja, ich bin auch eher überrascht, dass das so ein Theater gibt. Scripte auf dem Server müssen wohl zwangsläufig Aktionen ausführen können, mit denen man den Server auch lahm legen könnte.

    Grüsse vom Knochen
    Re:CGI (Score:2)
    Von NoSuchGuy am Monday 29. September, 12:49 MET (#4)
    (User #97 Info)
    Warum werden dann solche Scripte nicht "gekapselt" (Max. Zeitverbrauch, Max Speicher, Max CPU...), dass der Schaden nur begrenzt ist und nicht auf den Server durchschlägt? Gibt es diese Art von Kapselung?

    NSG
    --
    The only nice thing about spam is that it doesn't ring.
    Re:CGI (Score:2, Informativ)
    Von tbf am Monday 29. September, 13:18 MET (#5)
    (User #21 Info) http://taschenorakel.de/
    Abe sicher: Der user-limit-Systemcall ist genau dafür gedacht (siehe man 2 ulimit). Damit nicht nur C-Hacker das Teil nutzen kommen, hat z.B. auch die Bash 'nen ulimit-Befehl eingebaut.
    Re:CGI (Score:0)
    Von Anonymer Feigling am Monday 29. September, 15:41 MET (#6)
    Nur wenn der Admin ein Vollidiot ist, und keine Ressourcenlimits gesetzt hat.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen