der runde würfel

26. August 2011

Apache Range Request Exploit

Kategorie: Computer,Kurios,Privat — Schlagwörter: , , , , , , , , , , , , , , — bigfoot @ 22:17

Bereits im Jahr 2005 (CVE-2005-2728) gab es einen ähnlichen Vorfall. Ebenso ähnlich gelagert 2007 (CVE-2007-0086). Nun kommt es erneut zu hektischen Flecken auf den Gesichtern von Systemadministratoren. Denn die Möglichkeit den Apache Webserver mit einem Range Request in die Knie zu zwingen, besteht erneut.

Die Entwickler von Apache beabsichtigen binnen 48 Stunden einen Patch auf den Markt zu bringen, um das Problem zu beheben.

Aktuell besteht hierzu ein CVE-2011-3192, sowie der entsprechende Eintrag bei secunia.com.

Zur Zeit gibt es zwei praktikable Varianten die als Workaround fungieren können.

1.) Eine Rewrite Rule, die jedoch unter Umständen auf dem System bestehende Regeln beeinträchtigen können.

RewriteCond %{HTTP:range} ^bytes=[^,]+(,[^,]+){0,4}$
RewriteRule .* – [F]

2.) Durch das aktivieren von mod_headers kann man gezielt den Range Header bearbeiten. Das gibt dann gezielt einen StatusCode “200″ zurück.

SetEnvIf Range (,.*?){10,} bad-range=1
SetEnvIf Range (?:,.*?){10,10} bad-range=1
RequestHeader unset Range env=bad-range

Andere Wege, den Header ganz zu entfernen oder die Header in Ihrer gesamten Größe zu begrenzen, führt in der Regel dazu, daß Streams, eBooks, etc. nicht vernünftig connectieren können.

Bleibt abzuwarten, wie lange das ApacheKiller.pl kursiert, es einen Patch gibt und wie lange es dauert, bis die Systemadministratoren diesen auch eingepflegt haben.

28. Mai 2011

Cisco PIX Low-Profile Memory

Kategorie: Computer,Privat — Schlagwörter: , , , , , , , , , , , , — bigfoot @ 11:29

Grr. Derzeit ist meine PIX 515E mit 128 MB Speicher ausgestattet. Das reicht prinzipiell auch. Doch ich habe hier noch weiteren Speicher liegen. Darunter befinden sich auch 128 MB Speicherriegel für Cisco. Da ich derzeit dafür keine Verwendung habe, dachte ich mir, die könnte ich ja in die PIX schrauben. Sogleich die selben aus dem Gehäuse gedreht und die beiden 128 MB Speicherriegel in die Slot gesteckt. Ein Test Start und siehe da, 256 MB.

Also wieder zusammenbauen. Naja, jetzt sind wieder 128 MB drin, denn in die PIX passen nur Low-Profile Speicherriegel. Und davon habe ich nur eine Handvoll 64 MB Riegel. Naja, hat ja auch mir 128 MB funktioniert.

27. Mai 2011

Speedport W 722V und W-Lan

Kategorie: Computer,Privat — Schlagwörter: , , , , , , , , , , , , , , — bigfoot @ 01:07

Zu unserem VDSL Anschluß haben wir damals einen Speedport W 722V von der Telekom geliefert bekommen. Scheinbar ist dieser aber einer normalen Nutzung mit zwei Notebooks und zwei via W-Lan verbundenen Blackberrys nicht gewachsen. Jedenfalls bricht die Verbindung in regelmäßigen Abständen zusammen. Dann hilft nur ein in das Gerät pusten, denn es ist kurz vor der Kernschmelze. Derzeit behelfen wir uns damit, bei geplanten größeren Downloads oder dem Wunsch des Surfens nachzugehen, entweder ein Kabel zu ziehen oder einen Kühlakku an das Gerät zu befestigen. Dann klappts auch mit dem W-Lan.

In naher Zukunft wird dieser weiße Kunststoffblock, gegen eine Cisco ausgetauscht. Hier haben wir uns jetzt für eine CISCO887VW-K9 entschieden. Dazu noch die Option SL-CNFIL-88x-1Y (Ein Jahres subscription für Content Filtering für/gegen URL/Phishing).

24. Mai 2011

Cisco PIX 515-E vs. Cisco ASA 5520

Kategorie: Computer,Haus,Privat — Schlagwörter: , , , , , , , , , , , , , — bigfoot @ 03:13

Wenn ich mir so meine Pix ansehe, dann denke ich oft daran, mal upzudaten. Doch die ASA5520 kostet mal gleich 4.800 Euro. Nen Batzen Kohle und meine Pix hat eigentlich Power genug. Sogar die VAC+ Karte habe ich Ihr spendiert. Mit 185 M/Bit Firewall Durchsatz, auch nicht gerade langsam. im Rahmen meiner Überarbeitung unseres Netzwerkes zu Hause, hätte ich aber gerne zwei Gigabit Schnittstellen.

Die ASA 5520 hat bereits Standard 4x Gigabit Netzwerkschnittstellen und schafft 450 M/Bit an Firewall Durchsatz. Doch in Anbetracht der Kosten, muss ich mich wohl mit den beiden 100 M/Bit Schnittstellen in der Pix abfinden. Oder gibt es Nutzbare Dual Gigabit Netzwerkkarten, die zwar offiziell nicht Supportet werden, aber funktionieren? Schließlich habe ich damals extra eine UR (Un-Restricted) License geordert und kann 6 Interfaces Konfigurieren.

Hat da jemand einen Tip für mich? Tante Gurgel bezieht sich dann immer auf die Pix 525, doch so einen Trümmer, will ich in meinem Rack zu Hause nicht sehen. Das Auge administriert schließlich mit ;)

Tbc….

15. April 2011

iptables und brute-force

Kategorie: Computer — Schlagwörter: , , , , , , , , , , — bigfoot @ 22:55

Das Logfile meines Servers quillt jede n8 über. Eine Brute-Force SSH Attacke nach der anderen. Ein Freund sandte mir folgende Lösung zu:

iptables -N SSH_WHITELIST
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –name SSH
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 600 –hitcount 2 –rttl –name SSH -j NFLOG –nflog-prefix SSH_brute_force
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 600 –hitcount 4 –rttl –name SSH -j DROP

Ich werde mal sehen, was das bringt.

Ältere Einträge »

powered by wordpress; my content © 2009 - 2018