-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2011-0023 JPCERT/CC 2011-08-31(初版) 2011-09-15(更新) <<< JPCERT/CC Alert 2011-08-31 >> Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起 Apache HTTP Server DoS Vulnerability https://www.jpcert.or.jp/at/2011/at110023.txt I. 概要 Apache HTTP Server には、サービス運用妨害 (DoS) の脆弱性があります。 遠隔の第三者が細工した HTTP リクエストを Apache HTTP Server に送ること でシステムリソースが大量に使用され、結果としてサービス不能状態に陥る可 能性があります。 Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192) http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E The Apache Software Foundation によると、本脆弱性を悪用する攻撃ツール が公開されており、既に本脆弱性を狙った攻撃も確認されているとのことです。 *** 更新: 2011年09月15日追記 ****************************************** 2011年09月14日(日本時間)、The Apache Software Foundation より Apache HTTPD Security ADVISORY (UPDATE 3 - FINAL) が公開されました。 主な変更点は以下です。 - Apache HTTP Server 1.3 を脆弱性を受ける対象から除外 - Apache HTTP Server 2.0 修正済みプログラムのリリース予定日公開 - Apache HTTP Server 2.2.21 の公開(2.2.20 のエンバグを修正) - 本脆弱性とは別に CVE-2011-3348(mod_proxy_ajp) も修正されています 詳細については、以下のアドバイザリ、リリースノートをご確認ください。 Apache HTTPD Security ADVISORY (UPDATE 3 - FINAL) Range header DoS vulnerability Apache HTTPD prior to 2.2.20. http://httpd.apache.org/security/CVE-2011-3192.txt Apache HTTP Server 2.2.21 が リリースされました http://www.apache.jp/news/apache-http-server-2.2.21-released *********************************************************************** II. 対象 The Apache Software Foundation の情報によると、以下のバージョンが本 脆弱性の影響を受けます。 - Apache HTTP Server 1.3 系のすべてのバージョン - Apache HTTP Server 2.x 系のすべてのバージョン また、これらの製品以外にも Apache HTTP Server を組み込んでいる製品は 影響を受ける可能性があります。 ディストリビュータが提供している Apache HTTP Server をお使いの場合は、 使用中のディストリビュータなどの情報を参照してください。 III. 対策 The Apache Software Foundation から本脆弱性を修正した Apache HTTP Server 2.2.20 が公開されています。また、一部のディストリビュータなどか らも修正済みプログラムが提供されています。十分なテストを実施の上、修正 済みプログラムを適用することをお勧めします。 修正済みプログラムのバージョンは、以下のとおりです。 - Apache HTTP Server 2.2.20 Apache HTTP Server Source Code Distributions http://www.apache.org/dist/httpd/ - Debian Debian Security Advisory DSA-2298-1 apache2 -- denial of service http://www.debian.org/security/2011/dsa-2298 - NetBSD NetBSD pkgsrc-Bugs archive CVS commit: [pkgsrc-2011Q2] pkgsrc/www/apache22 http://mail-index.netbsd.org/pkgsrc-changes/2011/08/30/msg059529.html 対策の詳細については、The Apache Software Foundation、ディストリビュー タから提供される情報をご確認ください。 2011年8月31日現在、The Apache Software Foundation から Apache HTTP Server 2.0 系の修正済みプログラムは公開されていないため、回避策の適用に ついて検討してください。また、Apache HTTP Server 1.3 はサポートが終了し ているため、2.0/2.2 系へのアップグレード、または回避策の適用について検 討してください。 (回避策) The Apache Software Foundation より、回避策が公開されています。ただし、 回避策の適用によって弊害が発生する可能性があるため、影響を十分に考慮の 上回避策を適用してください。 回避策の詳細については、The Apache Software Foundation のアドバイザリ を参照してください。 Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192) http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E IV. JPCERT/CCによる検証結果 JPCERT/CC では、本脆弱性を使用する一部の攻撃コードについて検証を行い ました。Apache HTTP Server 2.2.20 では攻撃コードを実行しても Web サーバ がサービス不能状態にならないことを確認しています。 [検証環境] 攻撃対象のバージョン Apache:2.0.64 , 2.2.9 , 2.2.19 , 2.2.20 [検証内容] 攻撃ツールを実行し、Apache のバージョン毎の挙動を確認する [検証結果] - Apache 2.0.64 , 2.2.9 - サーバ自体の操作が不能な状態になった - 攻撃を停止しても状況に変化はなく、サービス不能な状態が続いた - Apache 2.2.19 - メモリ使用量が増加し、レスポンスは低下したが、Web コンテンツの 閲覧は可能であった - Apache 2.2.20 - サービス不能状態にならなかった V. 参考情報 Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192) http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E Apache HTTP Server 2.2.20 Released https://www.apache.org/dist/httpd/Announcement2.2.html Apache HTTP Server Source Code Distributions http://www.apache.org/dist/httpd/ Vulnerability Note VU#405811 Apache HTTPD 1.3/2.x Range header DoS vulnerability http://www.kb.cert.org/vuls/id/405811 JVNVU#405811 Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/cert/JVNVU405811/index.html Red Hat, Inc. CVE-2011-3192 httpd: multiple ranges DoS https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-3192 Apache HTTP Server 1.3.42 released (final release of 1.3.x) http://mail-archives.apache.org/mod_mbox/httpd-announce/201002.mbox/%3C20100203000334.GA19021@infiltrator.stdlib.net%3E 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ________ 改訂履歴 2011-08-31 初版 2011-09-15 Security ADVISORY (UPDATE 3) について追記 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEVAwUBTnFRNzF9l6Rp7OBIAQiYzQf/SwcTZONzLVXbb/5QUj8W6SvpL8/3ssDE 4sOXLwQ40XIumWHD/K0Q2UaxmIoGKQnaP9KMvSZVD0GQuGKdHvIzPTyV0K/uq3yk uw7EUX65/BfBwEDfI7KxoWeCI+FcemkjC6rnZHwPwDP1m+O3SQlnt9+JscdQMm8z ca/Y3E5JeQ9258K6tXFSkQkFhumW1/NlVRIxMXCm6nelWAx4sT5XtB2Sk6FLAsrC id79n4n66b17/9hiCAhgIEMpLTde86LkV5RsaUBydPDL+MM2EXfR/+e2h+s651mV FHCY8AtV9HOubVNEW8WT1BdOg+fAL10YfIKerjBn2V1sIT+6MleoUw== =vGKB -----END PGP SIGNATURE-----