Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
*) Fix a regression introduced by the CVE-2011-3192 byterange fix in 2.2.20:
A range of '0-' will now return 206 instead of 200. PR 51878.
[Jim Jagielski]
*) Example configuration: Fix entry for MaxRanges (use "unlimited" instead
of "0"). [Rainer Jung]
Changes with Apache 2.2.21
*) Fix a regression introduced by the CVE-2011-3192 byterange fix in 2.2.20.
PR 51748. [<lowprio20 gmail.com>]
Changes with Apache 2.2.20
*) SECURITY: CVE-2011-3192 (cve.mitre.org)
core: Fix handling of byte-range requests to use less memory, to avoid
denial of service. If the sum of all ranges in a request is larger than
the original file, ignore the ranges and send the complete file.
PR 51714. [Stefan Fritsch, Jim Jagielski, Ruediger Pluem, Eric Covener]
Confermo che ora restituisce 206, ma non è che questo introduce qualche bug? Se non sistemo la cosa devo mettere il 2.2.21
Ho fatto una prova. Ho compilato apache 2.2.21 introducendo le modifiche al byterange del 2.2.22 e questo diventa vulnerabile. Viceversa ho compilato apache 2.2.22 eliminando le modifiche al byterange e questo diventa non vulnerabile:
Ormai ho deciso. Installo il 2.2.22 con il rollback del byterange_filter.c a 2.2.21; i test li ho fatti e funge.
Nota: ho provato a mettere, nella configurazione, MaxRange a 1 e risulta ancora vulnerabile (o meglio, forse non lo è ma resta di fatto che la cpu mi sale a 15% e i log mi fanno migliaia di righe in pochi secondi; già questo lo ritengo un dos perchè mi riempirebbe il filesystem con poco tempo). Non risulto vulnerabile solo se metto MaxRange a none.
Quindi non è necessario il rollback della patch (che renderebbe il byte-range fuori rfc).
Tuttavia un tentativo di attacco semplice mi riempirebbe il filesystem di log in pochi minuti generando così un altro tipo di DoS.
Per l'uso che ne faccio io va benissimo "MaxRange none" (si tratta di tutti reverse proxy senza alcun contenuto statico in htdocs)
Eric Covener 2012-03-21 12:04:32 UTC
(In reply to comment #10)
> When "killapache.pl" script is executed against Opensource Apache 2.2.22
> Windows binary, it shows "host seems vuln" message. This behaviour was not
> observed in Apache 2.2.21 version. Whether this means CVE-2011-3192
> vulnerability is re-introduced in Opensource Apache 2.2.22 version while fixing
> the below byterange regression?
>
> *) Fix a regression introduced by the CVE-2011-3192 byterange fix in 2.2.20:
> A range of '0-' will now return 206 instead of 200. PR 51878.
> [Jim Jagielski]
No, it means killapache.pl has crude detection for vulnerable hosts. It flags
any system that responds to range headers.