http-2.0.50 crash - bug?

[Martin Ebert <ma...@wb-online.de>]

Liebe Liste,

na hopalla - was war denn das?
Vorhin hat jemand (oder etwas) es geschafft, einen apache2
abzuschießen. Beeindruckend.

Einen reporteten Bug finde ich nicht. Daher erzähle ich
mal genauer:
- debian bei ipx-server
- apache-2.0.50
- kein SSL, keine Sonderlocken; Stino-Installation
  via apt
- ca 20 virtuelle Domains

Der Angreifer (verortet: Polen) hat ganz konsequent von nur
einer IP aus durch Aufruf eines Perlscripts (Suchfunktion,
immer gleicher Parameter) die Kiste zugezogen - und folgend
den Apache gecrasht. Dazu benötigte er ca. 250 Aufrufe in
kurzer Zeit.

Das Perlscript ist ein wiki (usemod.com) ohne dahinterliegendes
mysql; nur filebasiert.

Als erstes kam erwartungsgemäß:
"Resource temporarily unavailable: couldn't create child process:"

Dann passierte aber was, was nach meinem Verständnis nicht konform
ist: Der Apache verabschiedete sich ohne weiteren Kommentar in die
ewigen Jagdgründe.

Ok, nun läuft da ein handgeschnitzter 2.0.58 - das ist nicht das Problem.

Ich habe eher Sorge, dass da ein Bug existiert, der nicht erkannt wurde.
(Oder ich zu dumm bin, den zu finden - auch möglich.)
Da ich mich nicht in der Lage sehe, bei apache.org einen qualifizierten
Report einzureichen - erzähle ich es hier.

Sofern Nachfragen bestehen: Immer her damit.

Mit freundlichen Gruessen, Martin Ebert
-- 
http://www.klug-suchen.de
http://www.bahnsuche.de
http://www.ddr-suche.de
http://www.wb-online.de


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------