Eerder deze week verscheen de tool 'Apache Killer' op de Full Disclosure mailinglist, een mailinglist voor security experts. Met deze tool is het mogelijk om webservers die draaien op Apache 1.3 en Apache 2 eenvoudig plat te leggen. Door meerdere aanvragen met overlappende bytereeksen tegelijk te versturen kan een aanvaller al het geheugen op een webserver opsouperen. De aanvaller heeft daarvoor slechts één pc nodig om de webserver volledig te laten crashen.

Proof-of-concept

De beveiligingsonderzoeker die een proof-of-concept aanval maakte stelt zelfs dat het hele besturingssysteem onbruikbaar kan worden bij parallelle aanvallen. Hij noemt symptomen waaraan beheerders kunnen zien of hun server aangevallen wordt: “swappen naar de harde schijf en het sluiten van de httpd-processen".

De aanval werkt door enkele delen, oftewel bytereeksen, van een http-document te downloaden. Door een normale http-header van meerdere van die reeksen te voorzien kan een aanvaller het systeem plat leggen. Apache wil binnen drie dagen een patch voor deze fout uitbrengen.

Exploit al misbruikt

Zo'n patch is belangrijk want de exploit wordt al door aanvallers gebuikt. Alle standaardinstallaties van de meestgebruikte webserver ter wereld zijn bovendien kwetsbaar. Opvallend is dat beveiligingsonderzoeker Michal Zalewski, inmiddels werkzaam bij Google, de bug al in januari 2007 ontdekte. Ook Microsofts webserver IIS was toen nog kwetsbaar voor een gelijkaardige aanval.

Hij analyseerde toen dat de aanval webservers zou kunnen laten bezwijken onder gigabytes aan nepdata. Dat kon allemaal vanaf één verbinding. Limieten in de grootte van een ontvangen bestand, het aantal verbindingen of aanvragen helpt volgens Zalewski niet. “Ik weet niet waarom ze er toen niets aan gedaan hebben, misschien merkten ze het gewoon niet omdat er geen exploit was", stelt Zalewski nu tegenover The Register.

66 procent marktaandeel

Wereldwijd draaien zo'n 235 miljoen websites op Apache. Dat blijkt uit statistieken van marktonderzoeker Netcraft. Apache heeft daarmee een marktaandeel van 66 procent. De nummer twee van die lijst is Microsoft IIS, dat heeft een marktaandeel van slechts 17 procent.

Hoewel de bug zowel voor Apache 1.3 als Apache 2 geldt, zal er alleen voor die laatste versiereeks een patch uitkomen. Apache 1.3 wordt door de ontwikkelaars al langere tijd niet meer ondersteund. Beheerders die deze versie gebruiken kunnen het beste upgraden. Er is ook een workaround beschikbaar.