Apache全系列曝拒绝服务漏洞的临时解决方案(转)
Apache 项目日前发布了一个拒绝服务(DoS)漏洞警告,采用默认方式安装的 Apache 非常容易受此攻击,而且目前还没有相应的补丁版本,预计在 48 小时内 Apache 会推出相应的补丁程序。该漏洞可让攻击者轻松的让 Apache 软件拒绝服务,该漏洞影响 Apache 的所有版本。而且坊间已经流传着这样的攻击工具,该攻击可使 Apache Http Server 占用大多数的内存和 CPU,从而导致无法处理正常的请求。
临时的应对措施:
可配置下列任一rewrite规则:
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* – [F]
———————————————————————————–
RewriteEngine on
RewriteCond %{HTTP:Range} bytes=0-.* [NC]
RewriteRule .? http://%{SERVER_NAME}/ [R=302,L]
或执行一下语句:
wget http://people.apache.org/~dirkx/mod_rangecnt.c
/usr/local/apache/bin/apxs -i -a -c mod_rangecnt.c
重启apache即可。以上具体apxs路径需要按照实际环境填写。
此次漏洞对编译过header模块并限定header长度/编译加载mod_security模块的无效。
ps:转自肖振良的博客
评论: