JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2011 > Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起

最終更新: 2011-09-15

Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起


各位

                                                   JPCERT-AT-2011-0023
                                                             JPCERT/CC
                                                      2011-08-31(初版)
                                                      2011-09-15(更新)

                  <<< JPCERT/CC Alert 2011-08-31 >>

    Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起

                 Apache HTTP Server DoS Vulnerability

            https://www.jpcert.or.jp/at/2011/at110023.txt


I. 概要

  Apache HTTP Server には、サービス運用妨害 (DoS) の脆弱性があります。
遠隔の第三者が細工した HTTP リクエストを Apache HTTP Server に送ること
でシステムリソースが大量に使用され、結果としてサービス不能状態に陥る可
能性があります。

    Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)
    http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E

  The Apache Software Foundation によると、本脆弱性を悪用する攻撃ツール
が公開されており、既に本脆弱性を狙った攻撃も確認されているとのことです。

*** 更新: 2011年09月15日追記 ******************************************

2011年09月14日(日本時間)、The Apache Software Foundation より
Apache HTTPD Security ADVISORY (UPDATE 3 - FINAL) が公開されました。
主な変更点は以下です。

  - Apache HTTP Server 1.3 を脆弱性を受ける対象から除外
  - Apache HTTP Server 2.0 修正済みプログラムのリリース予定日公開
  - Apache HTTP Server 2.2.21 の公開(2.2.20 のエンバグを修正)
    - 本脆弱性とは別に CVE-2011-3348(mod_proxy_ajp) も修正されています

詳細については、以下のアドバイザリ、リリースノートをご確認ください。

    Apache HTTPD Security ADVISORY (UPDATE 3 - FINAL)
    Range header DoS vulnerability Apache HTTPD prior to 2.2.20.
    http://httpd.apache.org/security/CVE-2011-3192.txt

    Apache HTTP Server 2.2.21 が リリースされました          
    http://www.apache.jp/news/apache-http-server-2.2.21-released

***********************************************************************


II. 対象

  The Apache Software Foundation の情報によると、以下のバージョンが本
脆弱性の影響を受けます。

  - Apache HTTP Server 1.3 系のすべてのバージョン
  - Apache HTTP Server 2.x 系のすべてのバージョン

  また、これらの製品以外にも Apache HTTP Server を組み込んでいる製品は
影響を受ける可能性があります。

  ディストリビュータが提供している Apache HTTP Server をお使いの場合は、
使用中のディストリビュータなどの情報を参照してください。


III. 対策

  The Apache Software Foundation から本脆弱性を修正した Apache HTTP 
Server 2.2.20 が公開されています。また、一部のディストリビュータなどか
らも修正済みプログラムが提供されています。十分なテストを実施の上、修正
済みプログラムを適用することをお勧めします。

  修正済みプログラムのバージョンは、以下のとおりです。

  - Apache HTTP Server 2.2.20
    Apache HTTP Server Source Code Distributions
    http://www.apache.org/dist/httpd/

  - Debian
    Debian Security Advisory
    DSA-2298-1 apache2 -- denial of service
    http://www.debian.org/security/2011/dsa-2298

  - NetBSD
    NetBSD pkgsrc-Bugs archive
    CVS commit: [pkgsrc-2011Q2] pkgsrc/www/apache22
    http://mail-index.netbsd.org/pkgsrc-changes/2011/08/30/msg059529.html

  対策の詳細については、The Apache Software Foundation、ディストリビュー
タから提供される情報をご確認ください。

  2011年8月31日現在、The Apache Software Foundation から Apache HTTP
Server 2.0 系の修正済みプログラムは公開されていないため、回避策の適用に
ついて検討してください。また、Apache HTTP Server 1.3 はサポートが終了し
ているため、2.0/2.2 系へのアップグレード、または回避策の適用について検
討してください。

(回避策)
  The Apache Software Foundation より、回避策が公開されています。ただし、
回避策の適用によって弊害が発生する可能性があるため、影響を十分に考慮の
上回避策を適用してください。

  回避策の詳細については、The Apache Software Foundation のアドバイザリ
を参照してください。

    Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)
    http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E


IV. JPCERT/CCによる検証結果

  JPCERT/CC では、本脆弱性を使用する一部の攻撃コードについて検証を行い
ました。Apache HTTP Server 2.2.20 では攻撃コードを実行しても Web サーバ
がサービス不能状態にならないことを確認しています。

    [検証環境]
    攻撃対象のバージョン
    Apache:2.0.64 , 2.2.9 , 2.2.19 , 2.2.20

    [検証内容]
    攻撃ツールを実行し、Apache のバージョン毎の挙動を確認する

    [検証結果]
    - Apache 2.0.64 , 2.2.9
      - サーバ自体の操作が不能な状態になった
      - 攻撃を停止しても状況に変化はなく、サービス不能な状態が続いた
    - Apache 2.2.19
      - メモリ使用量が増加し、レスポンスは低下したが、Web コンテンツの
        閲覧は可能であった
    - Apache 2.2.20
      - サービス不能状態にならなかった


V. 参考情報

    Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)
    http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E

    Apache HTTP Server 2.2.20 Released
    https://www.apache.org/dist/httpd/Announcement2.2.html

    Apache HTTP Server Source Code Distributions
    http://www.apache.org/dist/httpd/

    Vulnerability Note VU#405811
    Apache HTTPD 1.3/2.x Range header DoS vulnerability
    http://www.kb.cert.org/vuls/id/405811

    JVNVU#405811
    Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性
    https://jvn.jp/cert/JVNVU405811/index.html

    Red Hat, Inc.
    CVE-2011-3192 httpd: multiple ranges DoS
    https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-3192

    Apache HTTP Server 1.3.42 released (final release of 1.3.x)
    http://mail-archives.apache.org/mod_mbox/httpd-announce/201002.mbox/%3C20100203000334.GA19021@infiltrator.stdlib.net%3E

  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

________
改訂履歴
2011-08-31 初版
2011-09-15 Security ADVISORY (UPDATE 3) について追記

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english