公開日:2011/08/29 最終更新日:2015/10/21

JVNVU#405811
Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性
緊急

概要

Apache HTTPD サーバには、サービス運用妨害 (DoS) の脆弱性が存在します。

影響を受けるシステム

  • Apache HTTPD 2.2.20 より前の 2.2 系
  • Apache HTTPD 2.0.65 より前の 2.0 系

詳細情報

Apache HTTPD サーバには、Range ヘッダおよび Request-Range ヘッダの処理に問題があり、サービス運用妨害 (DoS) の脆弱性が存在します。

本脆弱性を使用した攻撃が観測されています。
また、"Apache Killer" と呼ばれる攻撃ツールが公開されています。

Apache のアドバイザリには、以下のように記載されています。

"Background and the 2007 report
==============================

There are two aspects to this vulnerability. One is new, is Apache specific; and resolved with this server side fix. The other issue is fundamentally a protocol design issue dating back to 2007:

http://seclists.org/bugtraq/2007/Jan/83

The contemporary interpretation of the HTTP protocol (currently) requires a server to return multiple (overlapping) ranges; in the order requested. This means that one can request a very large range (e.g. from byte 0- to the end) 100's of times in a single request.

Being able to do so is an issue for (probably all) webservers and currently subject of an IETF discussion to change the protocol:

http://trac.tools.ietf.org/wg/httpbis/trac/ticket/311

This advisory details a problem with how Apache httpd and its so called internal 'bucket brigades' deal with serving such "valid" request. The problem is that currently such requests internally explode into 100's of large fetches, all of which are kept in memory in an inefficient way. This is being addressed in two ways. By making things more efficient. And by weeding out or simplifying requests deemed too unwieldy."

想定される影響

遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

対策方法

アップデートする
Apache HTTPD 2.2 のユーザは、開発者の提供する情報をもとに、最新版にアップデートしてください。

なお、開発者によると、2011年9月中に、本脆弱性に対応した Apache HTTPD 2.0 のパッチを提供する予定とのことです。

ワークアラウンドを実施する
Apache のアドバイザリの "Mitigation" に、3 つのワークアラウンドが記載されています。

参考情報

  1. US-CERT Vulnerability Note VU#405811
    Apache HTTPD 1.3/2.x Range header DoS vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2011-0023
Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2011-3192
JVN iPedia JVNDB-2011-002172

更新履歴

2011/09/01
対策方法とベンダ情報を更新しました。
2011/09/06
[ベンダ情報]に富士通株式会社および IBM の情報を追加し、[関連情報]に JVNiPedia のリンクを追加しました。
2011/09/09
[ベンダ情報]に HP の情報を追加しました。
2011/09/09
[ベンダ情報]の株式会社 日立製作所の情報を追加し、IBM と HP のリンク記載を修正しました。
2011/09/13
[ベンダ情報]の株式会社 日立製作所の名称を日立に変更し、ベンダステータスが更新されました。
2011/09/15
[影響を受けるシステム], [対策方法], [ベンダ情報]を更新しました。
2011/09/21
[ベンダ情報]に Oracle の情報を追加しました。
2011/09/29
日本電気株式会社のベンダステータスが更新されました
2011/10/03
日立のベンダステータスが更新されました
2012/11/27
株式会社リコーのベンダステータスが更新されました
2013/10/22
日本電気株式会社のベンダステータスが更新されました
2015/10/21
富士通株式会社のベンダステータスが更新されました