|
|
Rubrik: Produkte/Intrusion Detection Deep-Packet-Inspection-Fähigkeit der "Snort"-Engine bietet Schutz vor dem "Apache Killer Exploit" Mithilfe großer, falsch formatierter HTTP-Header gibt der "Apache Killer" Angreifern die Möglichkeit, einen einzelnen PC zur Ausführung einer Denial-of-Service-Attacke zu nutzen (
Anzeige
Mithilfe großer, falsch formatierter HTTP-Header gibt der "Apache Killer" Angreifern die Möglichkeit, einen einzelnen PC zur Ausführung einer Denial-of-Service-Attacke zu nutzen. Der Angriff wird vom "HTTP Inspect Preprocessor" der Snort-Engine, die über eine Option zum Blockieren übergroßer HTTP-Header verfügt, ohne Schwierigkeiten erkannt. Im Laufe der Jahre wurde eine Vielzahl unterschiedlicher, gegen die verschiedensten Arten von Web-Servern gerichteten Attacken mit großen HTTP-Headern verschiedenartiger Typen geführt. Aus diesem Grund machte Sourcefire diese Fähigkeit verfügbar, um vorbeugend neue Sicherheitslücken zu detektieren, wie im Fall des Apache Killer-Tools. Ergänzend zu dieser existierenden Funktionalität der Snort-Engine erarbeitete das VRT außerdem eine neue Regel (GID 1, SID 19825) für Sourcefire IPS und Snort. Diese Regel sucht im HTTP-Text nach dem "Range:"-Request und detektiert Header, die exakt auf die nötige Weise unterteilt sind, um die von Apache Killer genutzte Schwachstelle zu triggern. Damit können Anwender das Apache Killer Exploit erkennen und blockieren, auch wenn sie die bereits existierende Funktion zum Aufdecken übergroßer HTTP-Header nicht nutzen wollen. (Sourcefire: ra) |
||
|
