Hash-Kollisionen können Webserver lahmlegen

Die Entwickler Alexander Klink und Julian Wälde haben eine Schwachstelle beschrieben, die in fast allen Webservern ausgenutzt werden kann: Durch das Auslösen von Hash-Kollisionen kann die CPU-Last von Webservern über lange Zeit auf bis zu 99 Prozent erhöht werden. Betroffen sind mehr oder weniger alle modernen Webserver, denn der softwareseitige Fehler ist in den meisten populären Skriptsprachen enthalten, darunter PHP.

Nutzer von PHP können ihre Systeme mit Suhosin absichern, das die Einstellung des Parameters suhosin.{post|request}.max_vars enthält.

Für alle die keinen Root Zugriff haben

Erstellen oder ändern Sie Ihre .htaccess Datei und fügt oben diese Werte ein:



Code:
php_value suhosin.post.max_vars 250
php_value suhosin.request.max_vars 250

Suhosin: richtige Einstellung

Die Konfigurationsdatei von Suhosin kann über die Konsole des Servers geändert werden.



Konfigurationsdatei:
/etc/php5/conf.d/suhosin.ini

Die Parameter suchen und wie folgt ersetzen:



Code:
suhosin.request.max_vars = 250
suhosin.post.max_vars = 250

Ganz allgemein lässt sich das Problem durch Begrenzung der CPU-Zeit reduzieren, was unter PHP mit der Option „max_input_time“ möglich ist. Wer nicht drauf angewiesen ist, große Datenmengen hochzuladen, kann zudem die maximale Größe von POST-Request auf wenige KByte beschränken.

Quelle: http://www.golem.de
Grafik: © AKS – Fotolia.com

top
Tagged: , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.