Apache HTTP Serverの全てのバージョンにDDoS攻撃可能な脆弱性が見つかる
2011年9月1日 10:00
あるAnonymous Coward 曰く、 SourceForge.JP Magazineの記事によると、Apache HTTP Serverに存在する脆弱性(CVE-2011-3192)を突いたDoS攻撃ツール「Apache Killer」が出回っているとのこと。
対象となるバージョンは、1.3系および2.x系の全バージョンで、Rangeヘッダの処理に問題があるために、多数のパラメータを持つRangeヘッダを受け取るとメモリを大量消費し、最悪の場合サーバがハングアップする。
徳丸浩氏のブログなどによると、この「Apache Killer」は
Range:bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,……,5-1298,5-1299
を含むHEADリクエストをターゲットに送信するという、極めてシンプルなものであるようだ。
Apache HTTPD Security ADVISORYに、暫定的な対策法が紹介されている。なお1.3系のサポートはすでに終了しているため、"Note that, while popular, Apache 1.3 is deprecated."と明記されている。
Use SetEnvIfまたはmod_rewriteを導入して、多数のパラメータが記述されたRengeヘッダは無視。その際、レガシーなRequest-Rangeヘッダも無視するように設定。
リクエストフィールドのサイズを小さくする。
RangeおよびRequest-Rangeヘッダを無視するように設定。
Rangeヘッダーカウントモジュールを導入
暫定パッチの適用 Apache HTTP Server 2.2.20がリリースされているので、2.2系を使用中の場合は更新すればよいようです。2.0系については、まだリリースされていないようですので、回避策を参照し対処が必要なようです。
Cf.) Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起
スラッシュドットのコメントを読む | オープンソース | apache | セキュリティ | mainpage
関連ストーリー:
2011年09月01日