BLOGTIMES
2011/08/26

Apache Killer が騒ぎになっている

  httpd  PoC  DoS  cve 
このエントリーをはてなブックマークに追加

Apache Killer という Apache HTTPD への DoS ツールが出現して大騒ぎになっている模様。
プロジェクトからも「Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x 」というセキュリティアドバイザリが出ています。
ApacheのDoSツールとしてはSlowloris が騒ぎになって以来でしょうか。

Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192) - セキュリティホール memo

[Full-disclosure] Apache Killer の件。Range header の処理に欠陥があり、DoS 攻撃 (メモリ、CPU 負荷上昇) が可能。 Bug 51714: Byte Range Filter might consume huge amounts of memory combined with compressed streams (apache.org) も参照。
48 時間以内に修正版が出る予定。複数の回避方法が記載されているが、それぞれ副作用があるので注意。

Apache 2.0の対処は

このサーバはApache 2.0系なのでアドバイザリに書いてある通りの設定をしようとするとエラーになってしまうようです。

# /etc/init.d/httpd configtest Syntax error on line 1190 of /usr/local/apache2/conf/httpd.conf: header unset takes two arguments

これについてはとりあえずこの情報を参考に下記のようにしておきました。

# Drop the Range header when more than 5 ranges. # CVE-2011-3192 SetEnvIf Range (?:,.*?){5,5} bad-range=1 RequestHeader set Range bytes=0- env=bad-range RequestHeader unset Request-Range # optional logging. CustomLog logs/range-CVE-2011-3192.log common env=bad-range

2011/08/27追記

アドバイザリがアップデートされたのでルールをちょっと改良
 → Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192) UPDATE 2

最後に実際にツールで確かめた*1ので対策完了。

$ perl killapache.pl example.com 50 host seems vuln ATTACKING example.com [using 50 forks] :pPpPpppPpPPppPpppPp ATTACKING example.com [using 50 forks] :pPpPpppPpPPppPpppPp ATTACKING example.com [using 50 forks] :pPpPpppPpPPppPpppPp ATTACKING example.com [using 50 forks] :pPpPpppPpPPppPpppPp

ちなみにこのスクリプトですが、内容を良く読むとドメインのトップページ(/)が動的コンテンツなんかで、ステータスが206 Partial Contentを返さないサイトだとチェックができないようです。

  • *1: 言うまでもないことですが、自分が管理者でないサーバに攻撃ツールを実行してはいけません。

トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/4412
Trackbacks
数日前から、賑わしているApache Killerとりあえず対策しましょうと言う...
kaiman++ IT & ギラギラ生きる & 神戸 (2011/08/30 12:12)
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン