Donnerstag, 28. Juli 2011, 14:11
Bug im Apache bzgl. HostnameLookups
Gerade haben wir einen kleinen Bug (wenn gleich es mehr oder weniger auch als Missverständnis zu bezeichnen wäre) im Apache gefunden.
Die Direktive
Will heißen: Eine einfache Konfiguration wie
Das wäre nicht so fatal, wenn das nicht durch jede .htaccess-Datei, die auch Kunden im Webhosting erzeugen können, geschehen würde. Dazu braucht es dann nicht mal einen Neustart des Apache.
BTW: Auch eine Angabe wie
Problematisch wird es meiner Ansicht nach erst dann, wenn man sich ausmalt, was in Verbindung mit IPv6, sehr vielen Requests und nicht antwortenden Nameservern theoretisch möglich wäre...
Die Direktive
HostnameLookups
, standardmäßig auf off
, wird von einigen Modulen überschrieben, vorrang mod_access.Will heißen: Eine einfache Konfiguration wie
Order deny,allowführt bereits dazu, dass die Direktive überschrieben und auf
Deny from host.tld
on
gesetzt wird.Das wäre nicht so fatal, wenn das nicht durch jede .htaccess-Datei, die auch Kunden im Webhosting erzeugen können, geschehen würde. Dazu braucht es dann nicht mal einen Neustart des Apache.
BTW: Auch eine Angabe wie
Allow from 1.2.3.4 #Kommentaroder auch ein
Allow from 1.2.3.4,5.6.7.8wertet der Apache als Hostname.
Problematisch wird es meiner Ansicht nach erst dann, wenn man sich ausmalt, was in Verbindung mit IPv6, sehr vielen Requests und nicht antwortenden Nameservern theoretisch möglich wäre...
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Anton
http://httpd.apache.org/docs/current/mod/mod_log_config.html
Manuel Schmitt (manitu)
mutax schrub
Bei einem AllowFrom sollte man ohnehin NIEMALS Hostnamen eintragen, da ich den ReverseLookup meiner IP als Angreifer selbst kontrollieren kann! Ich frage mich aber auch, ob Apache hier nicht einen Forward lookup auf den Namen macht und die (Liste der so ermittelten) IPs mit der anfragenden vergleicht. Müsste man ausprobieren
Manuel Schmitt (manitu)
Woo