Webサーバ(Apache)の脆弱性について

概要

　2011年8月24日にApacheの脆弱性に関する発表がございました。 この脆弱性が悪用され攻撃を受けることにより、FileBlogサーバー(Apacheがインストールされているサーバー）がシステムダウンする可能性があります。FileBlogサーバーがインターネットに公開されている場合には、は、3.1.5(2011/9月中旬リリース)にバージョンアップするか、以下の手順による対応を推奨致します。

脆弱性について

　Apache"1.3系"及び"2系"の全バージョンにおいて、HTTPのリクエストヘッダ内に多数のRange指定を含むリクエストを送りつけられることで、メモリやCPUを消費させられる、という脆弱性が発見されました。

※参考
オープンソースソフトウェアプロジェクトで紹介されている詳細情報
http://sourceforge.jp/magazine/11/08/25/0351236

影響

　本脆弱性を突いた攻撃を受けた場合、メモリの枯渇や多大なCPU負荷により「動作遅延」や「システムの停止」が発生する可能性がございます。

　特にFileBlogを社外ネットワークに公開してご利用頂いている場合には、攻撃を受ける可能性がありますので対応をお願い致します。

対策

FileBlog 3.1.5.*(2011/9月中旬リリース) 以降のバージョンをお使いの場合

　既に対策されています。そのままお使い下さい。

FileBlog 3.1.5.*(2011/9月中旬リリース) より古いバージョンをお使いの場合

　FileBlog 3.1.5.*(2011/9月中旬リリース)以降にバージョンアップして頂くか、以下の手順により対応して下さい。

1. Apacheの設定ファイル(httpd.conf)をテキストエディタで開きます。Version3.*以降の場合、$(FileBlogInstallFolder)\Apache\conf\httpd.confにあります。
2. 以下の文字列を最終行に追加します。

   # Reject request when more than 5 ranges in the Range: header.
   # CVE-2011-3192
   #
   RewriteEngine on
   RewriteCond %{HTTP:range} !(bytes=[^,]+(,[^,]+){0,4}$|^$)
   # RewriteCond %{HTTP:request-range} !(bytes=[^,]+(?:,[^,]+){0,4}$|^$)
   RewriteRule .* - [F]
   
   # We always drop Request-Range; as this is a legacy
   # dating back to MSIE3 and Netscape 2 and 3.
   RequestHeader unset Request-Range
   	

3. #LoadModule headers_module modules/mod_headers.so　となっている行を探し、以下のようにコメントアウトを外します。

   LoadModule headers_module modules/mod_headers.so
   

4. #LoadModule rewrite_module modules/mod_rewrite.so　となっている行を探し、以下のようにコメントアウトを外します。

   LoadModule headers_module modules/mod_rewrite.so
   

5. 設定ファイル(httpd.conf)を保存して、Apacheサービスを再起動します。※参考：サービス再起動の方法

※上記のhttpd.confの設定変更は、ApacheSecurityアドバイザリに従っています。

« 前へ   |  一覧へ