Skip to content

Bug im Apache bzgl. HostnameLookups

Gerade haben wir einen kleinen Bug (wenn gleich es mehr oder weniger auch als Missverständnis zu bezeichnen wäre) im Apache gefunden.

Die Direktive HostnameLookups, standardmäßig auf off, wird von einigen Modulen überschrieben, vorrang mod_access.

Will heißen: Eine einfache Konfiguration wie
Order deny,allow
Deny from host.tld
führt bereits dazu, dass die Direktive überschrieben und auf on gesetzt wird.

Das wäre nicht so fatal, wenn das nicht durch jede .htaccess-Datei, die auch Kunden im Webhosting erzeugen können, geschehen würde. Dazu braucht es dann nicht mal einen Neustart des Apache.

BTW: Auch eine Angabe wie
Allow from 1.2.3.4 #Kommentar
oder auch ein
Allow from 1.2.3.4,5.6.7.8
wertet der Apache als Hostname. :grrr:

Problematisch wird es meiner Ansicht nach erst dann, wenn man sich ausmalt, was in Verbindung mit IPv6, sehr vielen Requests und nicht antwortenden Nameservern theoretisch möglich wäre...

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Anton

In den Access-Logs lässt sich die Anzeige des Hostnames verhindern, indem das LogFormat angepasst wird: statt "%h" am Anfang wird bei "%a" auch wirklich nur die IP-Adresse geloggt:

http://httpd.apache.org/docs/current/mod/mod_log_config.html

Manuel Schmitt (manitu)

Das ist korrekt und durchaus sinnvoll, dennoch ist dies die Standard-Einstellung :-|

mutax schrub

Ein CustomLogFormat überschreibt sowas auch sehr gerne - und man wundert sich warum trotzdem Hostnamen überall auftauchen.

Bei einem AllowFrom sollte man ohnehin NIEMALS Hostnamen eintragen, da ich den ReverseLookup meiner IP als Angreifer selbst kontrollieren kann! Ich frage mich aber auch, ob Apache hier nicht einen Forward lookup auf den Namen macht und die (Liste der so ermittelten) IPs mit der anfragenden vergleicht. Müsste man ausprobieren :)

Manuel Schmitt (manitu)

Das geht, wenn man es will, mit der Einstellung "double" (statt off bzw. on)

Woo

Versteh ich das da oben recht? Sobald bei einer Allow- oder Deny-Regel ein Hostname eingetragen wird, wird die Direktrive automagisch auf On gesetzt? Das allerdings riecht fuer mich schon nach nem Bug. Wenn die explizit Off gesetzt war, sollten Hostnamen in danach folgenden Definitionen eigentlich einen Fehler werfen und nicht Einstellungen overriden.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
BBCode-Formatierung erlaubt
Formular-Optionen