Apacheの脆弱性を狙う「Apache Killer」に注意、パッチ提供は48時間以内(Apache) | ScanNetSecurity
2020.09.30(水)

Apacheの脆弱性を狙う「Apache Killer」に注意、パッチ提供は48時間以内(Apache)

Apache Software Foundationは8月24日(現地時間)、Apache HTTPDセキュリティアドバイザリを公開した。これは、Apache 1.3のすべてのバージョン、およびApache 2のすべてのバージョンにおいてDoS攻撃を受ける脆弱性(CVE-2011-3192)が確認されたというもの。また、同脆

脆弱性と脅威 セキュリティホール・脆弱性
Apache Software Foundationは8月24日(現地時間)、Apache HTTPDセキュリティアドバイザリを公開した。これは、Apache 1.3のすべてのバージョン、およびApache 2のすべてのバージョンにおいてDoS攻撃を受ける脆弱性(CVE-2011-3192)が確認されたというもの。また、同脆弱性を悪用するDDoS攻撃ツール「Apache Killer」が出回っているとして、注意を呼びかけている。

Apache Killerは本脆弱性を悪用し、リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させる。Apacheでは本脆弱性の修正パッチを48時間以内にリリースするとしており、暫定的な対策として以下を紹介している。

1:多数のrange指定を検出するために、SetEnvIfやmod_rewriteを使用してそれを無視する
2:リクエストフィールドのサイズを数百バイトに制限する
3:mod_headersを使ってRangeヘッダを無効にする
4:一時的な対策として、Rangeヘッダカウントモジュールを適用する
5:現在議論中のパッチを適用する

(吉澤亨史)

http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110824161640.122D387DD@minotaur.apache.org%3E
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×