【ニュー速ハッカー部】Apacheの脆弱性を突く「Apache Killer」　お前らのサーバの危険が危ない

Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定

2011年08月25日 12:49 末岡洋子

Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。
該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。
Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。
リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。
デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエストを送信することなしに
Apacheに多大な負荷をかけられるという。
Security Advisoryでは警告と同時に、この脆弱性を回避する暫定的な対応策が紹介されている。解決策の概要は次のとおり。

1. SetEnvIfもしくはmod_rewriteを使用し、リクエストに多数のRange指定があった場合はそれを無視する
2. リクエストフィールドのサイズ制限を小さめに設定し、長いRangeヘッダを受け付けないようにする（副作用として、ほかのHTTPヘッダが影響を受ける可能性がある）
3. mod_headersを利用してRangeヘッダサポートを無効にする
4. Rangeヘッダーカウントモジュールを適用する
5. 現在議論されている対策パッチを適用する

　開発チームは48時間以内に修正パッチをリリースするとし、それまではユーザーが対応策を講じるよう助言している。なお、バージョン1.3はサポートが終了している。

Apache HTTP Server
http://httpd.apache.org/

Security Advisory
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%[email protected]%3E

http://sourceforge.jp/magazine/11/08/25/0351236

僕の肛門括約筋もハッキングされそうです＞＜

あなたの予想に反して、このスレが見えているでしょうか？

おもむろにMySQLを立ち上げる

http://livedoor.2.blogimg.jp/rjc/imgs/a/1/a1f3a23f.jpg

お前らがサーバー立てて何するんだよ(´･ω･`)

なんだ別に鯖が高負荷にさせられるだけで、
内部の公開していないデータが読み出されるとか任意のコマンドを実行されるとか、
内部のファイルを書き換えられるとかじゃないのね

いいや別に

>>6
ファイル鯖に無線LANで接続してエロ漫画鑑賞

今こそエロ画像ミサイルを発射するんだ！！

>>6
うPロダ

ずいぶん性善説な設計だな

今どき自前で鯖公開してる人なんて、よほどの物好き以外いないでしょ。

あったこれか
http://seclists.org/fulldisclosure/2011/Aug/175

>>6
DLNA鯖がすごく捗る
テレビでDVDのISOやTSが直接再生できる

ジェロニモスレか

モペがやってたやつ？

したり顔で0day

>>16
それとはまた違う
けどこの攻撃方法も2chに有効なはず

数年前にAIREDGEで100個に分割ダウンロードしてきた奴がいて、
何度もしつこくリトライされたらしく応答不能になってApacheが落ちてた。

もしかしてこれか？