Wohnzimmerhostblogger

Heute Mittag war die Freude hier im Büro groß, als das CVE-2011-3192 von Mittwoch ein Update erfuhr. Konkreter Hintergrund war hier, dass sich die alte Meldung nur auf den "Range"-Eintrag im HTTP-Header bezog, nun aber auch vor dem "Request-Range"-Header gewarnt wird - die erwähnte Freude beruhte auf dem Umstand, dass unser eigenes Modul zur Behebung des Problems von Mittwoch bereits dieses Update mit abdeckte, und führte zu einem regelrechten Schulterkopfen.

Sowohl das Update des CVEs aber auch der Umstand, dass wir es schon abdecken, liegt auf der Hand, wenn man sich den entsprechenden Quelltext des Apache-Webservers anschaut:

In Zeile 3162 der Datei modules/http/http_protocol.c wird der Range-Header ausgelesen und später weiterverarbeitet. Existiert dieser Eintrag nicht, so versucht Apache den Request-Range-Header zu rate zu ziehen. Da wir just diese Zeile gelesen hatten, bevor wir das Modul entwickelt haben, lag es auf der Hand diesen zweiten Fall also auch mit abzudecken.

Heute mittag vermeldete Heise Online, dass der Apache-Webserver mit einem einzigen Computer außer Gefecht zu setzen ist. An dieser Stelle erst einmal vielen Dank an Benedikt für das "Bekanntmachen" des Links

Das Problem betrifft alle Apache-Versionen (1.3, 2.x). Wir konnten es recht schnell nachvollziehen und haben kurzum auch ein eigenes Tool zum Testen CVE-2011-3192 geschrieben (schlichtweg weil meine Perl-Installation keinen Fork-Manager hat) mit dem es sich auch reproduzieren ließ. Einen offiziellen Patch für Apache scheint es noch nicht zu geben, wenngleich auch einige Lösungsansätze in der Diskussion sind.

Sei es das Schützen des Webservers mittels SetEnvIf:

SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

... LimitRequestFieldSize:

LimitRequestFieldSize 200

... mod_rewrite:

RewriteEngine On
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

... oder mod_header: 

RequestHeader unset Range

Alternativ lässt sich das Problem auch über ein zusätzliches Modul beheben, sei es über das, dass wir selbst heute geschrieben haben, oder ein relativ ähnliches von einem Apache-Entwickler.

Wir raten ein entsprechendes Apache-Modul zu benutzen oder das Problem mittels mod_rewirte bzw. SetEnvIf zu adressieren! 

Für einen Kunden schreibe ich gerade ein Angebot über ein wenig Netzwerk-Hardware zusammen. Ein Posten stand mit 1.339,- € in meiner Kalkulation.

Ich konnte nicht widerstehen und habe stillschweigend 2 Euro Rabatt gegeben.

Im Rechenzentrum braucht unser neues Linux-System 3 Sekunden zwischen Starten der virtuellen Maschine und dem per SSH erreichbar sein.

Unglaublich.

Bei uns ist momentan wahnsinnig viel im Umbruch - daher auch die geringe Anzahl an Blogposts in der letzten Zeit. Vieles an Software, die wir einsetzen oder in den letzten 8 Jahren (6 Jahre davon für tiggersWelt.net), ist mittlerweile obsolet - gerade wenn es um die eigenen Komponenten geht hat sich das Denken ein wenig weiterentwickelt und irgendwann kommt der Punkt, wo mal was neues her muss.

Bis dato haben wir auf unseren Servern stets auf eine "richtige" Linux-Distribution gesetzt, darauf aber immer Rückbau betrieben und unsere eigene Software bzw. selbst kompilierte Versionen drüber gespielt. Wenn ich gefragt wurde, was wir denn im konkreten einsetzen passte meist die Antwort "Was eigenes und den Kernel von Distribution X". So wirklich zufrieden gestellt hat mich das nie. Zumal es komisch ist, einen Server zu installieren und gleich wieder bestimmte Komponenten zu deaktivieren oder zu deinstallieren. Ein Build-System habe wir mittlerweile ohnehin vorzuweisen, also warum nicht auch die notwendigen Komponenten wie Kernel oder Compiler selbst bauen, ein wirklicher Overhead existiert hierbei nicht mehr und wir reden eigentlich auch nur von 6 zusätzlichen Software-Paketen.

So habe ich heute die Ehre den ersten "Release-Kandidat" unseres eigenes Linux-Betriebssystems zwischen den Fingern zu haben und testen zu dürfen und es ist toll: Sehr minimal gehalten, das Basis-System (ohne Webserver) kommt mit ca. 20 MB Arbeitsspeicher aus und bootet selbst über Netzwerk binnen weniger Sekunden. Das System konfiguriert sich voll automatisch (sofern gewollt) anhand bestimmter Parameter wie z.B. MAC-Adresse der Ethernet-Interfaces oder UUID den XEN- bzw. VMware-Gastes.

Ich bin mal gespannt, wann der erste produktive Server damit bestückt wird. Vermutlich wird das noch nicht direkt ein Kundensystem sein, sondern eher sowas wie der Server, der hinter unseren Webseiten (u.a. auch dem Blog hier) steht. Ich bin gespannt =)