Ein bislang unbekannter Fehler in der Verarbeitung von Byte-Range-Headern lässt sich ausnutzen, um mit einem einzigen PC einen Apache-Webserver 2.2 zum Stillstand zu bringen.

Von Heise:

Auf der Mailing-Liste Full Disclosure ist dafür das Perl-Skript "Apache Killer" erschienen, das das Problem eindrucksvoll demonstriert.

Das Tool sendet GET-Requests mit mehreren "Byte Ranges", die zu einer sehr hohen Speicherbelegung des Systems führen. Die Angabe von "Bytes Ranges" ermöglichen dem Browser, etwa bestimmte Teile eines Dokuments nur teilweise zu laden, etwa die Bytes 500 bis 1000. Auf diese Weise knüpfen etwa auch Download-Clients an abgebrochene Downloads an. Das soll den Bandbreitenverbrauch verringern. Die Angabe mehrerer Teile im Header in unsortierter Folge bringen aber den Apache offenbar aus dem Tritt.

  Tool bringt Apache-Webserver zum Stillstand