しばらく前に,会社の品質保証部のセキュリティ情報で Apache Web サーバの DoS 脆弱性が話題になり,現場に対し担当システムを確認するよう指示がまわっていた。担当顧客システムの調査/対応が一段落したので,自宅の Web サーバもチェックしてみることにした。
この脆弱性のアドヴァイザリは『JVNTR-2011-05 Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 (CVE-2011-3192, JVNVU#405811)』。Apache 2.x 系すべてが対象とのこと。Range ヘッダ処理で Web サーバのみならずシステム全体のサービス不能を引き起こす問題である。
自宅の FreeBSD 8.2-RELEASE 公開 Web サーバを確認すると,インストールした Apache22 の CHANGES(修正履歴ファイル)には Fix a regression introduced by the CVE-2011-3192 byterange fix in 2.2.20. とあるので,すでに対策済みの版だとわかった。OS を組込んだ 9 月には,FreeBSD Apache22 ports は対策版に更新されていたわけである。この問題を検証できる Perl コード Apache Killer - killapache.pl が公開されている。検証のため,公開サーバをこのプログラムで攻撃してみた。
isolde:/Users/i-yasuda/var/ % perl killapache.pl beatrice Host does not seem vulnerable
となって,確かに対策済みだとわかった。killapache.pl 攻撃コードは Perl IO:
この脆弱性は有名だし,攻撃コードが公開されているくらいだから,ご自分で Web サーバを運用されている方はぜひチェックして,未対応なら Apache を最新版に更新していただきたい。インストールした Apache のドキュメントを見て,CVE-2011-3192 アドヴァイザリが対策されていればよい。