Workarounds Issued For 'Apache Killer' Attack

'Active use' of attack tool spotted as Apache team spells out mitigation strategies and promises a patch within 24 hours

Aug 25, 2011 | 08:36 PM | 0 Comments

By Kelly Jackson Higgins
Dark Reading
A working proof-of-concept christened the "Apache Killer" released this week uses an as-yet unpatched flaw in the server software that pounds Apache servers with a DDoS attack -- and all it would take is one machine to bring the server to its knees.

The Apache development team late yesterday issued an alert and workarounds in advance of rolling out a patch for the flaw in Apache HTTPD Web Server 1.3 and 2.X. The Apache Killer lets an attacker use a single PC to wage a denial of service attack against an Apache server.

"By sending specially crafted HTTP requests which include malformed range HTTP header, an attacker can disrupt the normal function of the web server, thus disallowing legitimate users to receive responses from the web server," the team's advisory says. "This issue affects all Apache software versions and a patch has not been released yet."

The underlying flaw was apparently first reported on bugtraq in 2007. "It appears due to its lack of sophistication, that it did not get much attention by Apache developers and it has remained unpatched all of this time," wrote Kevin Shortt of the SANS Internet Storm Center, who noted that he had not yet tested the PoC, but planned to.

In an updated advisory posted this morning, the Apache team revealed further exposure of the platform to the attack, and noted that "active use of this tool has been observed."

Meanwhile, vendors were stepping forward today announcing their protections against the Apache Killer attack.

Sourcefire says its IPS and open-source Snort technology have been able to detect this flaw for several years and that its Vulnerability Research Team today beefed up that protection with a new rule specific to the Apache Killer. "A lot of people have been freaking out about the "Apache Killer" tool released on Full-Disclosure last Friday. While it's an effective way to cause a Denial of Service (DoS) against an Apache web server, and readily accessible to your average malfeasant, the good news is you don't need to let your hair catch fire over it, because the VRT had it covered before the tool was even released," blogged Alex Kirk, a member of the Sourcefire VRT.

Trustwave's SpiderLabs earlier this week added protection for the attack to its ModSecurity Web application firewall.

And Imperva subsidiary Incapsula says its Web security service users are shielded from the Apache Killer. "Web sites that are using Incapsula and configured to block illegal resource access attempts are protected from such exploit attempts," according to an Incapsula advisory issued today.

The Apache team promised that a patch or new Apache version for Apache 2.0 and 2.2 would be available this week. "Note that, while popular, Apache 1.3 is deprecated," the advisory says. Meantime, the team offered several workarounds, including limiting the size of the HTTP request field to "a few hundred bytes."

Have a comment on this story? Please click "Add Your Comment" below. If you'd like to contact Dark Reading's editors directly, send us a message.

MS, AES 암호 규격의 방어벽에 처음으로 균열 생긴 것

미국 마이크로소프트와 벨기에 있는 루벤·카톨릭대학의 연구자들이 널리 사용되고 있는 AES암호 알고리즘을 공격하는 방법을 발견했다고 외신이 보도했다.
 
루벤·카톨릭대학의 보고(Biclique Cryptanalysis of the Full AES )에 의하면 그들이 고안한 공격 수법은 종래 고려되어 왔던 속도의 3배에서 5배 속도로 AES 비밀 키를 복구(recovery)하는 것이 가능하다.
 
연구자들은 이 공격은 본질적으로 복잡한 것으로 기존 기술을 이용해서 간단하게 공격되지는 않는다고 주의를 촉구하고 있다. 실제로 연구자들이 채용한 수법에 의하면 AES 암호 알고리즘을 해독하는 데에는 수 십억 년에 해당하는 컴퓨터 처리 시간이 필요한 것 같다.
 
그러나 오랜 기간에 걸친 그들의 암호 해독 프로젝트가 내 놓은 성과는 지금까지 해독 불능이었던 AES 암호 규격의 방어벽에 처음으로 구멍이 열린 것이라고 말해도 좋을 것이다.
 
금융거래의 안전화라는 극히 중요한 처리에 적용되는 암호 규격을 평가하는 경우, 시큐리티 전문가는 암호화 알고리즘이 극히 악의적인 공격에도 견디어내는 능력을 갖고 있는 지를 판단한다.
 
지금 이 순간은 안전한 암호화 방법이라고 생각되는 기술일지라도 가까운 미래에 등장하게 될 고속 컴퓨터나 수치 연산의 새로운 기술이 출현하는 경우에는, 쉽게 그 벽이 무너질지도 모르기 때문이다.
 
이번 조사에 의해서 “AES 안전성의 한계도 지속적으로 떨어지고 있다는 사실을 알게 되었다”고 시큐리티 전문가인 Bruce Schneier는 자신의 블로그에 남겼다.
 
또한 Schneier는 “공격 수법은 항상 진화하고 있다. 이것은 결코 퇴화하는 일은 없다”라는 미국 NSA의 전문가의 말도 블로그에 인용하고 있다.
(www.schneier.com/blog/archives/2011/08/new_attack_on_a_1.html)
 
실행하기에는 대단한 노력이 필요하지만 연구자들이 확립한 공격 방법은 다양한 버전의 AES에 대해서도 유효하다.
 
Microsoft Research의 Dmitry Khovratovich, 루벤·카톨릭대학의 연구자인 Andrey Bogdanov, 파리에 있는 Ecole Normale Superieure (ENS)의 Christian Rechberger 등 3명이 이번 프로젝트를 완수했다.
 
Bogdanov와 Rechberger는 Microsoft Research와 공동으로 프로젝트에 전념하기 위하여 대학을 휴학한 것 같다. 루벤·카톨릭대학에 의하면, AES를 제안하였던 Joan Daemen과 Vincent Rijmen도 이들 공격의 유효성을 인식하고 있다고 말했다.
[정보제공. 박춘식 서울여자대학교 교수]

[저작권자 ⓒ데일리시큐 무단 전재-재배포 금지]

Using AUTO_INCREMENT

The AUTO_INCREMENT attribute can be used to generate a unique identity for new rows:

CREATE TABLE animals (
     id MEDIUMINT NOT NULL AUTO_INCREMENT,
     name CHAR(30) NOT NULL,
     PRIMARY KEY (id)
) ENGINE=MyISAM;

INSERT INTO animals (name) VALUES
    ('dog'),('cat'),('penguin'),
    ('lax'),('whale'),('ostrich');

SELECT * FROM animals;

Which returns:

+----+---------+
| id | name    |
+----+---------+
|  1 | dog     |
|  2 | cat     |
|  3 | penguin |
|  4 | lax     |
|  5 | whale   |
|  6 | ostrich |
+----+---------+