Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定

 Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。

 Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエストを送信することなしにApacheに多大な負荷をかけられるという。

 Security Advisoryでは警告と同時に、この脆弱性を回避する暫定的な対応策が紹介されている。解決策の概要は次のとおり。

  1. SetEnvIfもしくはmod_rewriteを使用し、リクエストに多数のRange指定があった場合はそれを無視する
  2. リクエストフィールドのサイズ制限を小さめに設定し、長いRangeヘッダを受け付けないようにする(副作用として、ほかのHTTPヘッダが影響を受ける可能性がある)
  3. mod_headersを利用してRangeヘッダサポートを無効にする
  4. Rangeヘッダーカウントモジュールを適用する
  5. 現在議論されている対策パッチを適用する

 開発チームは48時間以内に修正パッチをリリースするとし、それまではユーザーが対応策を講じるよう助言している。なお、バージョン1.3はサポートが終了している。

Apache HTTP Server
http://httpd.apache.org/

Security Advisory
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110824161640.122D387DD@minotaur.apache.org%3E