Apache HTTP Server

2024: ФСТЭК предупредила об уязвимости, «убивающей» веб-сайты

ФСТЭК 8 апреля разослала предупреждение об уязвимости BDU:2024-02653^[1] в реализации протокола HTTP/2 в веб-сервере Apache HTTP Server, которая позволяет с помощью специальной последовательности пакетов вывести веб-сервер из строя, то есть совершить DoS-атаку на уязвимый сервер и сделать его недоступным. Впрочем, по данным американского центра реагирования на инциденты ИБ (CERT CC) этой же уязвимости^[2] подвержено достаточно много реализаций HTTP/2 серверов: Apache Tomcat, Apache Traffic Server, Envoy proxy, Golang, h2 Rust crate, nghttp2, amphp/http, Node.js и Tempesta FW.

Уязвимость фактически является архитектурной. Дело в том, что протокол HTTP/2 позволяет разделить запрос к серверу на нескольких фреймов (так называемые CONTINUATION-фреймы), последний из которых должен содержать флаг END_HEADERS. Это и позволяет злоумышленнику сделать бесконечный набор фреймов без финального флага, которые должны быть обработаны сервером. В конце концов ресурсы сервера на их обработку будут исчерпаны, и сервер выйдет из строя. Атака получила наименование CONTINUATION Flood. Для вывода сервера из строя она не требует большого потока данных, поэтому задействовать ресурсы распределенных систем для DDoS-атак нет необходимости.

Уязвимость обнаружил исследователь Бартек Новотарски, который ещё 25 января сообщил о ней в CERT CC. Только в начале апреля эта уязвимость была официально подвержена, и некоторые производители своих веб-серверов оперативно выпустили для нее заплатки. И если у иностранных разработчиков было достаточно времени для ее разработки и тестирования — CERT обычно при получении сведений об уязвимости связывается с производителями соответствующих продуктов, то у российских такой возможности, скорее всего, не было.

Netlas.io

Проект Apache, в частности, оперативно выпустил исправления^[3] для указанной ошибки: версия 2.4.59 должна противостоять подобной атаке. Другие производители также в ближайшее время, скорее всего, исправят подобную уязвимость. Если же исправлений нет, то ФСТЭК рекомендует использовать системы обнаружения и предотвращения вторжений, позволяющие прервать реализацию атаки CONTINUATION Flood (этот функционал должен быть в WAF-продуктах), а также ограничить использование протокола HTTP/2, то есть временно, до исправления уязвимости, перейти на более старую версию HTTP /1.1. Однако велика вероятность, что встроенные в какие-нибудь аппаратные устройства сервера с веб-интерфейсом оперативно ни обновить, ни перенастроить не получиться, что может привести к выходу их из строя.

2023: Apache HTTP Server 2.4.55

20 января 2023 года стало известно о том, что опубликован релиз HTTP-сервера Apache 2.4.55, в котором представлено 18 изменений и устранено 3 уязвимости:

• CVE-2022-37436: атака по разделению ответов HTTP в mod_proxy. Подконтрольный атакующему бэкенд может произвести усечение HTTP-заголовков ответа так, что следом идущие заголовки окажутся в теле ответа (например, таким образом можно отбросить связанные с обеспечением безопасности заголовки).
• CVE-2022-36760: модуль mod_proxy_ajp подвержен атакам класса "HTTP Request Smuggling" на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.
• CVE-2006-20001: возможность записи одного нулевого байта в область вне границ буфера, проявляющаяся при обработке в mod_dav специально оформленного заголовка "If:".

Наиболее заметные изменения, не связанные с безопасностью:

• mod_proxy_http2 переведён на общий с другими прокси-модулями механизм обработки типа содержимого ответов, приходящих от бэкендов.
• В mod_proxy_hcheck учтено значение таймаута, выставленное для рабочих процессов.
• В mod_http2 частично переписан код обработки соединений и потоков. Для отслеживания основного соединения и обработки ввода/вывода для запросов и ответов задействована функция pollset из APR (Apache Portable Runtime). Обеспечено удаление начальных и финальных пробелов и табуляций в значениях заголовков ответов и запросов.
• В mod_proxy_hcheck в hcmethod разрешены запросы HTTP/1.1 с использованием методов GET11, HEAD11 и OPTIONS11. Обеспечена корректная проверка поддержки AJP/CPING.
• В mod_authn_core добавлена поддержка выражений в AuthName и AuthType.
• В mod_md добавлена директива MDStoreLocks, предназначенная для блокировки совместного хранилища для обеспечения корректной активации обновлённых сертификатов при одновременном перезапуске нескольких узлов кластера.
• В mod_heartmonitor разрешено указание директивы "HeartbeatMaxServers 0" для использования файлового хранилища вместо slotmem.
• В mod_dav добавлена опция DAVlockDiscovery для отключения определения блокировок WebDAV^[4].

2012: Apache HTTP Server 2.4

Это первое крупное обновление (2012 года) c 2005 года, когда вышла версия 2.2. Новые особенности Apache улучшают способность сервера к работе в средах с большим трафиком.

Apache — самый популярный веб-сервер: по данным Netcraft, он применяется почти на 400 млн сайтов, или на 65% от общего их количества. Второе место — у Microsoft IIS, 14,5%. Но возможно, главный конкурент Apache — это nginx: его доля меньше 10%, но за последний месяц он получил 12 тыс. новых сайтов, тогда как Apache потерял 18 тыс.Рынок аутсорсинга информационной безопасности в России: особенности развития и перспективы. Обзор TAdviser 6.5 т

Многие новые особенности Apache 2.4 повторяют аналогичные, благодаря которым стал популярным nginx. Новый Apache обслуживает больше одновременных соединений и использует меньше памяти. Модуль обратного прокси позволяет использовать один внешний IP-адрес для множества серверов с часто меняющимися внутренними адресами. Таймауты можно задавать с точностью до миллисекунды, ресурсные ограничения тоже контролируются более детально. Улучшен механизм кэширования с расчетом на большие объемы трафика.

Примечания