Apache heeft beheerders van webservers gewaarschuwd voor een nieuw programma waarmee een enkele pc een Apache webserver kan platleggen. Het programma 'Apache Killer' werd onlangs op de Full-disclosure mailinglist gezet en misbruikt een beveiligingslek in de webserversoftware. Volgens Apache wordt het probleem veroorzaakt door de manier waarop de Apache HTTPD server verschillende "overlapping ranges" verwerkt.

"De aanval is op afstand uit te voeren en kan via een beperkt aantal verzoeken het geheugen en de processor ernstig belasten", aldus een advisory van Apache, dat verder laat weten dat de standaard installatie kwetsbaar is en aanvallers het programma actief misbruiken. De ontwikkelaar meldt dat er vandaag of morgen een update zal verschijnen. Tot die tijd kunnen systeembeheerders deze aanbevelingen opvolgen. Inmiddels is er ook een onofficiële 'workaround', maar die zou mogelijk voor meer problemen kunnen zorgen.

Het probleem speelt in alle Apache 1.3 versies en alle Apache 2 versies. Voor Apache 1.3 zal echter geen update meer verschijnen, aangezien deze versie niet meer ondersteund wordt. Als laatste krijgen systeembeheerders het advies om hun eigen servers via de tool te testen, voordat iemand anders dat voor hen doet.