Ein bislang unbekannter Fehler in der Verarbeitung von Byte-Range-Headern lässt sich ausnutzen, um mit einem einzigen PC einen Apache-Webserver 2.2 zum Stillstand zu bringen.

Es wird empfohlen über das Modul mod_header und die Konfiguration RequestHeader unset Range im Header enthaltene Range-Requests komplett zu löschen.

Update 31.08.2011: Für Debian lenny, squeeze, wheezy und sid gibt es inzwischen entsprechende Sicherheitsupdates.

Was denkst du?