Apache HTTPD 1.3系、2.x系の両方にDoSの可能な脆弱性 (CVE-2011-3192) が発覚するとともに脆弱性を悪用するkillapacheスクリプトが登場し、CPUとメモリーを消費させる攻撃が既に始まっているそうだ。 この脆弱性はあいにく、既定のインストールで内包されてしまう模様。 恒久的な修正は、鋭意準備中とのこと。一時的な回避手法が若干あるようだ。

• 英文一次情報
• Apache.orgからの英文情報のコピー
• www.apache.jpの和文情報
• セキュリティホールmemo

- - - - -

(2011-08-29後記。 コメントにもあるように「Reqeust-Range」ヘッダーも脆弱のようだ。実際、killapacheスクリプトの「Range」ヘッダー同様、「Reqeust-Range」ヘッダーと「Range-Reqeust」ヘッダーも書き加えてみたところ、旧アドバイザリーの「一時的な回避手法」だけ施したサーバーでヘタってしまう場合もあることが、わかった。ただし、現アドバイザリーの「回避手法」でも、前よりゆっくりとだがロード・アベレージの上がることは上がるので注意が必要だ。

• セキュリティホールmemoの追記
• Apache Killer 対策|空模様
• Apache Killer の件を PHP で確認 - mgng
• 徳丸浩の日記 ←参考になる

)

- - - - -

(2011-08-30後記。 都合により詳細な確認はまだとれていないが、「poohSec プーさんたちとセキュリティ」のページによると、apachepartial.plなる攻撃スクリプトもあるようだ。攻撃対象のHTTP要求ヘッダーは相変わらずRangeだけではあるのだが、

• 80番以外のポートをコマンド行引数で指定できたり
• ドキュメント・ルート以外をつつけたり
• 接続できないときはきれいに抜けたり

とか、地味に改良されている模様)

- - - - -

(2011-08-31後記。Apache 2.2.20がリリースされた。

• JPCERT/CC Alert 2011-08-31: Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起

)