Authentication




Cancel OK
B!コメントする  2011-08-26 13:32:00 by old

Apache Killerの内容

Apache Killerが問題になっていて会社でも対策しないといけないので調べてみた。

内容としては

Range header DoSを使った脆弱性攻撃

という事でApacheの方からもパッチが出るまでの対策として次のhttp://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/browserを出してます。

この中身を見ると


# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range

Option 2: (Also for Apache 1.3)

# Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

と記述がしてありRangeヘッダーの個数制限や書き換えることで対応をしています。
どうやらApacheの方ではRangeに対しての制限が元々大してなかったため、本来は1つあれば十分であるRangeが複数あった場合や、細工されたRangeが来た場合におかしくなるという現象が事の発端のようです。

Apacheを使っていてもモジュールや用途(プロキシだったりとか)によっては現象が出ないこともあるようなのですが、WEB用途に使っていればまず間違いなく現象が出ると思いますので、暫定的でも対応を行うか、パッチがリリースされたら速攻で適用するすかないようです。

もしレンタルサーバーで被害が出ている場合は業者側で対応するのを待つしかないと思います。
自分のとこだけRangeを無効にしても、他の共有者の所で何もしてない場合は結局負荷は発生してしまいますので。
とは言ってもファイアーウォールあたりで対応すれば良いような気もするけど、穴は塞いでおくにこしたことはない。


セキュリティー  

  • コメント
  • コメントはまだありません