Apache Tomcat fixt DoS-servergat
Gepubliceerd: Woensdag 18 januari 2012
Auteur: Martin Bruining
De ontwikkelaars van Apache Tomcat komen met een update voor de serversoftware. Aanleiding is het DoS-gat dat in december werd ontdekt. Een aanval daarop kan een server tijdelijk onbereikbaar maken.
Apache heeft vandaag een nieuwe versie van de software vrijgegeven, meldt H-online. Versies 7.0.22, 6.0.33 en 5.5.34 lossen het denial of service-gat op dat eind december onthuld werd op de hackersconferentie CCC in Berlijn. Gebruikers wordt aangeraden zo snel mogelijk over te stappen op een nieuwe versie
Request van 100 kb
Door het beveiligingsgat kan een kwaadwillende de server volledig platleggen met één http-request van ongeveer 100 kilobyte. Het lek is aanwezig in vrijwel alle serversoftware. De webserver is dan voor ongeveer anderhalve minuut volledig bezet. Als er meerdere malafide verzoeken worden gestuurd kan de server langer worden platgelegd. Dit geldt ook voor machines met meerdere processors.
Het probleem zit in de hashes die worden gebruikt om het opslaan en weer ophalen van webpagina-data te versnellen. Als de hashes bij het vergelijken van de data teveel op elkaar lijken, moet de server langer nadenken. Een aanvaller kan opzettelijk voor dubbele waarden zorgen en daarmee de server volledig bezet houden met deze checks. Apache zegt het lek nu te hebben gedicht door op een andere manier met grote aantallen parameters en hun waarden om te gaan.
Ook een informatielek gedicht
De update voor versie 6.0.33 en 7.0.22 dicht ook een lek dat niet aanwezig was in eerdere versies, schrijft H-online. In sommige gevallen werden requests op twee plaatsen opgeslagen in de cache. Headers en het ip-adres van het vorige verzoek werden dan meegezonden met een nieuwe request.
