Bereits im Jahr 2005 (CVE-2005-2728) gab es einen ähnlichen Vorfall. Ebenso ähnlich gelagert 2007 (CVE-2007-0086). Nun kommt es erneut zu hektischen Flecken auf den Gesichtern von Systemadministratoren. Denn die Möglichkeit den Apache Webserver mit einem Range Request in die Knie zu zwingen, besteht erneut.
Die Entwickler von Apache beabsichtigen binnen 48 Stunden einen Patch auf den Markt zu bringen, um das Problem zu beheben.
Aktuell besteht hierzu ein CVE-2011-3192, sowie der entsprechende Eintrag bei secunia.com.
Zur Zeit gibt es zwei praktikable Varianten die als Workaround fungieren können.
1.) Eine Rewrite Rule, die jedoch unter Umständen auf dem System bestehende Regeln beeinträchtigen können.
RewriteCond %{HTTP:range} ^bytes=[^,]+(,[^,]+){0,4}$
RewriteRule .* – [F]
2.) Durch das aktivieren von mod_headers kann man gezielt den Range Header bearbeiten. Das gibt dann gezielt einen StatusCode “200″ zurück.
SetEnvIf Range (,.*?){10,} bad-range=1
SetEnvIf Range (?:,.*?){10,10} bad-range=1
RequestHeader unset Range env=bad-range
Andere Wege, den Header ganz zu entfernen oder die Header in Ihrer gesamten Größe zu begrenzen, führt in der Regel dazu, daß Streams, eBooks, etc. nicht vernünftig connectieren können.
Bleibt abzuwarten, wie lange das ApacheKiller.pl kursiert, es einen Patch gibt und wie lange es dauert, bis die Systemadministratoren diesen auch eingepflegt haben.