iidaの日記: Apache 1.3/2.xにDoS可能な脆弱性発覚 2
日記 by
iida
Apache HTTPD 1.3系、2.x系の両方にDoSの可能な脆弱性 (CVE-2011-3192) が発覚するとともに脆弱性を悪用するkillapacheスクリプトが登場し、CPUとメモリーを消費させる攻撃が既に始まっているそうだ。 この脆弱性はあいにく、既定のインストールで内包されてしまう模様。 恒久的な修正は、鋭意準備中とのこと。一時的な回避手法が若干あるようだ。
- - - - -
(2011-08-29後記。 コメントにもあるように「Reqeust-Range」ヘッダーも脆弱のようだ。実際、killapacheスクリプトの「Range」ヘッダー同様、「Reqeust-Range」ヘッダーと「Range-Reqeust」ヘッダーも書き加えてみたところ、旧アドバイザリーの「一時的な回避手法」だけ施したサーバーでヘタってしまう場合もあることが、わかった。ただし、現アドバイザリーの「回避手法」でも、前よりゆっくりとだがロード・アベレージの上がることは上がるので注意が必要だ。
)
- - - - -
(2011-08-30後記。 都合により詳細な確認はまだとれていないが、「poohSec プーさんたちとセキュリティ」のページによると、apachepartial.plなる攻撃スクリプトもあるようだ。攻撃対象のHTTP要求ヘッダーは相変わらずRangeだけではあるのだが、
- 80番以外のポートをコマンド行引数で指定できたり
- ドキュメント・ルート以外をつつけたり
- 接続できないときはきれいに抜けたり
とか、地味に改良されている模様)
- - - - -
(2011-08-31後記。Apache 2.2.20がリリースされた。
)
update が出てますね (スコア:2)
Update 2 [apache.org] で、Range-Request という obsolete なヘッダも問題となっています。こちらは基本的には使われてないので、単純に無視するように設定すればよいようです。
ProxyPass の後ろにでかいファイルを置いたら Range ヘッダを使われて、Front/Back end 間でリクエストの数だけでかいファイルがやりとりされて困った経験があります。でかいファイルと言っても数10メガ程度で、いわゆる高速ダウンローダの仕業だったのですが。
和文情報 (スコア:1)
つ http://osdn.jp/magazine/11/08/25/0351236 [osdn.jp]
対策方法まで書かれてて分かりやすいかと
しかしまぁRange対応してるバージョン全てというのは大きすぎますね…