1.3/2.0系列については回避策の検討を

DoSの脆弱性を修正した「Apache 2.2.20」、公開

2011/08/31

 Apache Software FoundationとApache HTTP Server Projectは米国時間の8月30日、サービス運用妨害(DoS)の脆弱性を修正した「Apache 2.2.20」を公開した。ただし、Apache 2.0/1.3系列については、修正版はリリースされていない。

 Apache HTTPDサーバについては、8月24日ごろから、DoS攻撃につながる脆弱性が指摘されていた。RangeヘッダおよびRequest-Rangeヘッダの処理に問題があるため、細工を施したパケットを送り付けられるとCPUとメモリが大量に消費され、サーバ自体の操作やサービス提供が困難な状態に陥る。

 影響を受けるのは、Apache 1.3系列のすべて、それにApache 2.0.64/2.2.19以前のすべてのバージョンだ。悪いことに、この脆弱性を悪用する攻撃ツール「Apache Killer」も登場しており、修正版が公開されるまでにいくつかの攻撃が観測されていた。

 Apache Software Foundationでは、問題を修正したApache HTTP Server 2.2.20を公開し、アップデートを呼び掛けている。JPCERTコーディネーションセンター(JPCERT/CC)によれば、Apache HTTP Server 2.2.20では、攻撃コードを実行してもWebサーバはサービス不能状態にならないことが確認できたという。

 ただしApache 1.3/2.0系列については、修正版はリリースされていない。Apache Software Foundationでは、「SetEnvIf」や「mod_rewrite」を用いて不正なヘッダやリクエストを拒否したり、リクエストフィールドのサイズを数百バイトに制限するといった回避策を紹介している。また、Apache 1.3はサポートが終了しているため、2.0/2.2系へのアップグレードも検討すべきという。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間