Apache HTTP Serverの全てのバージョンにDDoS攻撃可能な脆弱性が見つかる

あるAnonymous Coward 曰く、　SourceForge.JP Magazineの記事によると、Apache HTTP Serverに存在する脆弱性(CVE-2011-3192)を突いたDoS攻撃ツール「Apache Killer」が出回っているとのこと。

対象となるバージョンは、1.3系および2.x系の全バージョンで、Rangeヘッダの処理に問題があるために、多数のパラメータを持つRangeヘッダを受け取るとメモリを大量消費し、最悪の場合サーバがハングアップする。

徳丸浩氏のブログなどによると、この「Apache Killer」は

Range:bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,……,5-1298,5-1299

を含むHEADリクエストをターゲットに送信するという、極めてシンプルなものであるようだ。

Apache HTTPD Security ADVISORYに、暫定的な対策法が紹介されている。なお1.3系のサポートはすでに終了しているため、"Note that, while popular, Apache 1.3 is deprecated."と明記されている。

　Use SetEnvIfまたはmod_rewriteを導入して、多数のパラメータが記述されたRengeヘッダは無視。その際、レガシーなRequest-Rangeヘッダも無視するように設定。　
　リクエストフィールドのサイズを小さくする。　
　RangeおよびRequest-Rangeヘッダを無視するように設定。　
　Rangeヘッダーカウントモジュールを導入　
　暫定パッチの適用　Apache HTTP Server 2.2.20がリリースされているので、2.2系を使用中の場合は更新すればよいようです。2.0系については、まだリリースされていないようですので、回避策を参照し対処が必要なようです。
Cf.) Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起

　スラッシュドットのコメントを読む | オープンソース | apache | セキュリティ | mainpage

　関連ストーリー：
2011年09月01日