各位
Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起
Apache HTTP Server DoS Vulnerability
https://www.jpcert.or.jp/at/2011/at110023.txt
I. 概要
Apache HTTP Server には、サービス運用妨害 (DoS) の脆弱性があります。遠隔の第三者が細工した HTTP リクエストを Apache HTTP Server に送ることでシステムリソースが大量に使用され、結果としてサービス不能状態に陥る可能性があります。
Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E
The Apache Software Foundation によると、本脆弱性を悪用する攻撃ツールが公開されており、既に本脆弱性を狙った攻撃も確認されているとのことです。
*** 更新: 2011年09月15日追記 ****************
2011年09月14日(日本時間)、The Apache Software Foundation よりApache HTTPD Security ADVISORY (UPDATE 3 - FINAL) が公開されました。主な変更点は以下です。
- Apache HTTP Server 1.3 を脆弱性を受ける対象から除外
- Apache HTTP Server 2.0 修正済みプログラムのリリース予定日公開
- Apache HTTP Server 2.2.21 の公開(2.2.20 のエンバグを修正)
- 本脆弱性とは別に CVE-2011-3348(mod_proxy_ajp) も修正されています
詳細については、以下のアドバイザリ、リリースノートをご確認ください。
Apache HTTPD Security ADVISORY (UPDATE 3 - FINAL)
Range header DoS vulnerability Apache HTTPD prior to 2.2.20.
http://httpd.apache.org/security/CVE-2011-3192.txt
Apache HTTP Server 2.2.21 が リリースされました
http://www.apache.jp/news/apache-http-server-2.2.21-released
**************************************************
II. 対象
The Apache Software Foundation の情報によると、以下のバージョンが本脆弱性の影響を受けます。
- Apache HTTP Server 1.3 系のすべてのバージョン
- Apache HTTP Server 2.x 系のすべてのバージョン
また、これらの製品以外にも Apache HTTP Server を組み込んでいる製品は影響を受ける可能性があります。
ディストリビュータが提供している Apache HTTP Server をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。
III. 対策
The Apache Software Foundation から本脆弱性を修正した Apache HTTP
Server 2.2.20 が公開されています。また、一部のディストリビュータなどからも修正済みプログラムが提供されています。十分なテストを実施の上、修正済みプログラムを適用することをお勧めします。
修正済みプログラムのバージョンは、以下のとおりです。
- Apache HTTP Server 2.2.20
Apache HTTP Server Source Code Distributions
http://www.apache.org/dist/httpd/
- Debian
Debian Security Advisory
DSA-2298-1 apache2 -- denial of service
http://www.debian.org/security/2011/dsa-2298
- NetBSD
NetBSD pkgsrc-Bugs archive
CVS commit: [pkgsrc-2011Q2] pkgsrc/www/apache22
http://mail-index.netbsd.org/pkgsrc-changes/2011/08/30/msg059529.html
対策の詳細については、The Apache Software Foundation、ディストリビュータから提供される情報をご確認ください。
2011年8月31日現在、The Apache Software Foundation から Apache HTTPServer 2.0 系の修正済みプログラムは公開されていないため、回避策の適用について検討してください。また、Apache HTTP Server 1.3 はサポートが終了しているため、2.0/2.2 系へのアップグレード、または回避策の適用について検討してください。
(回避策)
The Apache Software Foundation より、回避策が公開されています。ただし、回避策の適用によって弊害が発生する可能性があるため、影響を十分に考慮の上回避策を適用してください。
回避策の詳細については、The Apache Software Foundation のアドバイザリを参照してください。
Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E
IV. JPCERT/CCによる検証結果
JPCERT/CC では、本脆弱性を使用する一部の攻撃コードについて検証を行いました。Apache HTTP Server 2.2.20 では攻撃コードを実行しても Web サーバがサービス不能状態にならないことを確認しています。
[検証環境]
攻撃対象のバージョン
Apache:2.0.64 , 2.2.9 , 2.2.19 , 2.2.20
[検証内容]
攻撃ツールを実行し、Apache のバージョン毎の挙動を確認する
[検証結果]
- Apache 2.0.64 , 2.2.9
- サーバ自体の操作が不能な状態になった
- 攻撃を停止しても状況に変化はなく、サービス不能な状態が続いた
- Apache 2.2.19
- メモリ使用量が増加し、レスポンスは低下したが、Web コンテンツの
閲覧は可能であった
- Apache 2.2.20
- サービス不能状態にならなかった
V. 参考情報
Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E
Apache HTTP Server 2.2.20 Released
https://www.apache.org/dist/httpd/Announcement2.2.html
Apache HTTP Server Source Code Distributions
http://www.apache.org/dist/httpd/
Vulnerability Note VU#405811
Apache HTTPD 1.3/2.x Range header DoS vulnerability
http://www.kb.cert.org/vuls/id/405811
JVNVU#405811
Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU405811/index.html
Red Hat, Inc.
CVE-2011-3192 httpd: multiple ranges DoS
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-3192
Apache HTTP Server 1.3.42 released (final release of 1.3.x)
http://mail-archives.apache.org/mod_mbox/httpd-announce/201002.mbox/%3C20100203000334.GA19021@infiltrator.stdlib.net%3E
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2011-08-31 初版
2011-09-15 Security ADVISORY (UPDATE 3) について追記
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2011-0023
JPCERT/CC
2011-08-31(初版)
2011-09-15(更新)
JPCERT/CC Alert 2011-08-31
Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起
Apache HTTP Server DoS Vulnerability
https://www.jpcert.or.jp/at/2011/at110023.txt
I. 概要
Apache HTTP Server には、サービス運用妨害 (DoS) の脆弱性があります。遠隔の第三者が細工した HTTP リクエストを Apache HTTP Server に送ることでシステムリソースが大量に使用され、結果としてサービス不能状態に陥る可能性があります。
Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E
The Apache Software Foundation によると、本脆弱性を悪用する攻撃ツールが公開されており、既に本脆弱性を狙った攻撃も確認されているとのことです。
*** 更新: 2011年09月15日追記 ****************
2011年09月14日(日本時間)、The Apache Software Foundation よりApache HTTPD Security ADVISORY (UPDATE 3 - FINAL) が公開されました。主な変更点は以下です。
- Apache HTTP Server 1.3 を脆弱性を受ける対象から除外
- Apache HTTP Server 2.0 修正済みプログラムのリリース予定日公開
- Apache HTTP Server 2.2.21 の公開(2.2.20 のエンバグを修正)
- 本脆弱性とは別に CVE-2011-3348(mod_proxy_ajp) も修正されています
詳細については、以下のアドバイザリ、リリースノートをご確認ください。
Apache HTTPD Security ADVISORY (UPDATE 3 - FINAL)
Range header DoS vulnerability Apache HTTPD prior to 2.2.20.
http://httpd.apache.org/security/CVE-2011-3192.txt
Apache HTTP Server 2.2.21 が リリースされました
http://www.apache.jp/news/apache-http-server-2.2.21-released
**************************************************
II. 対象
The Apache Software Foundation の情報によると、以下のバージョンが本脆弱性の影響を受けます。
- Apache HTTP Server 1.3 系のすべてのバージョン
- Apache HTTP Server 2.x 系のすべてのバージョン
また、これらの製品以外にも Apache HTTP Server を組み込んでいる製品は影響を受ける可能性があります。
ディストリビュータが提供している Apache HTTP Server をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。
III. 対策
The Apache Software Foundation から本脆弱性を修正した Apache HTTP
Server 2.2.20 が公開されています。また、一部のディストリビュータなどからも修正済みプログラムが提供されています。十分なテストを実施の上、修正済みプログラムを適用することをお勧めします。
修正済みプログラムのバージョンは、以下のとおりです。
- Apache HTTP Server 2.2.20
Apache HTTP Server Source Code Distributions
http://www.apache.org/dist/httpd/
- Debian
Debian Security Advisory
DSA-2298-1 apache2 -- denial of service
http://www.debian.org/security/2011/dsa-2298
- NetBSD
NetBSD pkgsrc-Bugs archive
CVS commit: [pkgsrc-2011Q2] pkgsrc/www/apache22
http://mail-index.netbsd.org/pkgsrc-changes/2011/08/30/msg059529.html
対策の詳細については、The Apache Software Foundation、ディストリビュータから提供される情報をご確認ください。
2011年8月31日現在、The Apache Software Foundation から Apache HTTPServer 2.0 系の修正済みプログラムは公開されていないため、回避策の適用について検討してください。また、Apache HTTP Server 1.3 はサポートが終了しているため、2.0/2.2 系へのアップグレード、または回避策の適用について検討してください。
(回避策)
The Apache Software Foundation より、回避策が公開されています。ただし、回避策の適用によって弊害が発生する可能性があるため、影響を十分に考慮の上回避策を適用してください。
回避策の詳細については、The Apache Software Foundation のアドバイザリを参照してください。
Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E
IV. JPCERT/CCによる検証結果
JPCERT/CC では、本脆弱性を使用する一部の攻撃コードについて検証を行いました。Apache HTTP Server 2.2.20 では攻撃コードを実行しても Web サーバがサービス不能状態にならないことを確認しています。
[検証環境]
攻撃対象のバージョン
Apache:2.0.64 , 2.2.9 , 2.2.19 , 2.2.20
[検証内容]
攻撃ツールを実行し、Apache のバージョン毎の挙動を確認する
[検証結果]
- Apache 2.0.64 , 2.2.9
- サーバ自体の操作が不能な状態になった
- 攻撃を停止しても状況に変化はなく、サービス不能な状態が続いた
- Apache 2.2.19
- メモリ使用量が増加し、レスポンスは低下したが、Web コンテンツの
閲覧は可能であった
- Apache 2.2.20
- サービス不能状態にならなかった
V. 参考情報
Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110826103531.998348F82@minotaur.apache.org%3E
Apache HTTP Server 2.2.20 Released
https://www.apache.org/dist/httpd/Announcement2.2.html
Apache HTTP Server Source Code Distributions
http://www.apache.org/dist/httpd/
Vulnerability Note VU#405811
Apache HTTPD 1.3/2.x Range header DoS vulnerability
http://www.kb.cert.org/vuls/id/405811
JVNVU#405811
Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU405811/index.html
Red Hat, Inc.
CVE-2011-3192 httpd: multiple ranges DoS
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-3192
Apache HTTP Server 1.3.42 released (final release of 1.3.x)
http://mail-archives.apache.org/mod_mbox/httpd-announce/201002.mbox/%3C20100203000334.GA19021@infiltrator.stdlib.net%3E
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2011-08-31 初版
2011-09-15 Security ADVISORY (UPDATE 3) について追記
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/