Apacheの脆弱性を狙う「Apache Killer」に注意、パッチ提供は48時間以内（Apache）

脆弱性と脅威セキュリティホール・脆弱性

2011.8.25 Thu 19:46

Apache Software Foundationは8月24日（現地時間）、Apache HTTPDセキュリティアドバイザリを公開した。これは、Apache 1.3のすべてのバージョン、およびApache 2のすべてのバージョンにおいてDoS攻撃を受ける脆弱性（CVE-2011-3192）が確認されたというもの。また、同脆弱性を悪用するDDoS攻撃ツール「Apache Killer」が出回っているとして、注意を呼びかけている。

Apache Killerは本脆弱性を悪用し、リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させる。Apacheでは本脆弱性の修正パッチを48時間以内にリリースするとしており、暫定的な対策として以下を紹介している。

1：多数のrange指定を検出するために、SetEnvIfやmod_rewriteを使用してそれを無視する
2：リクエストフィールドのサイズを数百バイトに制限する
3：mod_headersを使ってRangeヘッダを無効にする
4：一時的な対策として、Rangeヘッダカウントモジュールを適用する
5：現在議論中のパッチを適用する

（吉澤亨史）

http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110824161640.122D387DD@minotaur.apache.org%3E

《ScanNetSecurity》