概要

2011年8月24日にApacheの脆弱性に関する発表がございました。この脆弱性が悪用され攻撃を受けることにより、FileBlogサーバー(Apacheがインストールされているサーバー)がシステムダウンする可能性があります。FileBlogサーバーがインターネットに公開されている場合には、は、3.1.5(2011/9月中旬リリース)にバージョンアップするか、以下の手順による対応を推奨致します。

脆弱性について

Apache"1.3系"及び"2系"の全バージョンにおいて、HTTPのリクエストヘッダ内に多数のRange指定を含むリクエストを送りつけられることで、メモリやCPUを消費させられる、という脆弱性が発見されました。

※参考
オープンソースソフトウェアプロジェクトで紹介されている詳細情報
http://sourceforge.jp/magazine/11/08/25/0351236

影響

本脆弱性を突いた攻撃を受けた場合、メモリの枯渇や多大なCPU負荷により「動作遅延」や「システムの停止」が発生する可能性がございます。

特にFileBlogを社外ネットワークに公開してご利用頂いている場合には、攻撃を受ける可能性がありますので対応をお願い致します。

対策

FileBlog 3.1.5.*(2011/9月中旬リリース) 以降のバージョンをお使いの場合

既に対策されています。そのままお使い下さい。

FileBlog 3.1.5.*(2011/9月中旬リリース) より古いバージョンをお使いの場合

FileBlog 3.1.5.*(2011/9月中旬リリース)以降にバージョンアップして頂くか、以下の手順により対応して下さい。

  1. Apacheの設定ファイル(httpd.conf)をテキストエディタで開きます。Version3.*以降の場合、$(FileBlogInstallFolder)\Apache\conf\httpd.confにあります。
  2. 以下の文字列を最終行に追加します。
    # Reject request when more than 5 ranges in the Range: header.
    # CVE-2011-3192
    #
    RewriteEngine on
    RewriteCond %{HTTP:range} !(bytes=[^,]+(,[^,]+){0,4}$|^$)
    # RewriteCond %{HTTP:request-range} !(bytes=[^,]+(?:,[^,]+){0,4}$|^$)
    RewriteRule .* - [F]
    
    # We always drop Request-Range; as this is a legacy
    # dating back to MSIE3 and Netscape 2 and 3.
    RequestHeader unset Request-Range
    			
  3. #LoadModule headers_module modules/mod_headers.so となっている行を探し、以下のようにコメントアウトを外します。
    LoadModule headers_module modules/mod_headers.so
  4. #LoadModule rewrite_module modules/mod_rewrite.so となっている行を探し、以下のようにコメントアウトを外します。
    LoadModule headers_module modules/mod_rewrite.so
  5. 設定ファイル(httpd.conf)を保存して、Apacheサービスを再起動します。

※上記のhttpd.confの設定変更は、ApacheSecurityアドバイザリに従っています。

ご質問・ご相談はお気軽にお問い合わせください