ApacheにDoS攻撃を受ける脆弱性のアラートが出ている。現時点で出回っている2.x系および1.3系の全バージョンが対象。
しかもApache Killerと呼ばれる攻撃はとても簡単らしく、検証した人の記事によると「あっという間にCPUやメモリリソースが喰い尽くされる」相当に深刻なものらしい。
早速対処版のapache-2.2.20が公開されているものの、ubuntuのアップデートはまだ先のようなので、まずは設定でガードするのが吉。
Advisoryに従い、以下の記述
# Drop the Range header when more than 5 ranges.をconfファイル/etc/apache2/conf.d/CVE-2011-3192として作成し、headersモジュールを有効にしてapacheをrestart。
# CVE-2011-3192
SetEnvIf Range (?:,.*?){5,5} bad-range=1
RequestHeader unset Range env=bad-range
# We always drop Request-Range; as this is a legacy
# dating back to MSIE3 and Netscape 2 and 3.
RequestHeader unset Request-Range
# optional logging.
CustomLog /var/log/apache2/range-CVE-2011-3192.log common env=bad-range
CustomLog /var/log/apache2/range-CVE-2011-3192.log common env=bad-req-range
yano@www29117u:~$ sudo a2enmod headers
Enabling module headers.
Run '/etc/init.d/apache2 restart' to activate new configuration!
yano@www29117u:~$ sudo service apache2 restart
* Starting web server apache2 [ OK ]
yano@www29117u:~$
【参照】
●INTERNET Watch http://internet.watch.impress.co.jp/
┗ApacheにDoS攻撃を受ける脆弱性、JPCERT/CCが注意喚起 2011年8月31日
●ITmedia News http://www.itmedia.co.jp/news/
┗Apacheの未解決の脆弱性を突く攻撃が横行 2011年8月25日
●JPCERT コーディネーションセンター https://www.jpcert.or.jp/
┗Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起 2011年8月31日
●announce@httpd.apache.org Archives http://mail-archives.apache.org/mod_mbox/httpd-announce/
┗Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)
●空模様 | bloodlinejpの徒然日記のようなもの http://bloodlinejp.ddo.jp/blog/
┗Apache の脆弱性対策:Apache Killer 対策 2011年8月26日
●徳丸浩の日記 http://blog.tokumaru.org/
┗Apache killerは危険~Apache killerを評価する上での注意~ 2011年8月27日