Apache heeft vandaag een nieuwe versie van de software vrijgegeven, meldt H-online. Versies 7.0.22, 6.0.33 en 5.5.34 lossen het denial of service-gat op dat eind december onthuld werd op de hackersconferentie CCC in Berlijn. Gebruikers wordt aangeraden zo snel mogelijk over te stappen op een nieuwe versie

Request van 100 kb

Door het beveiligingsgat kan een kwaadwillende de server volledig platleggen met één http-request van ongeveer 100 kilobyte. Het lek is aanwezig in vrijwel alle serversoftware. De webserver is dan voor ongeveer anderhalve minuut volledig bezet. Als er meerdere malafide verzoeken worden gestuurd kan de server langer worden platgelegd. Dit geldt ook voor machines met meerdere processors.

Het probleem zit in de hashes die worden gebruikt om het opslaan en weer ophalen van webpagina-data te versnellen. Als de hashes bij het vergelijken van de data teveel op elkaar lijken, moet de server langer nadenken. Een aanvaller kan opzettelijk voor dubbele waarden zorgen en daarmee de server volledig bezet houden met deze checks. Apache zegt het lek nu te hebben gedicht door op een andere manier met grote aantallen parameters en hun waarden om te gaan.

Ook een informatielek gedicht

De update voor versie 6.0.33 en 7.0.22 dicht ook een lek dat niet aanwezig was in eerdere versies, schrijft H-online. In sommige gevallen werden requests op twee plaatsen opgeslagen in de cache. Headers en het ip-adres van het vorige verzoek werden dan meegezonden met een nieuwe request.