2011年12月15日木曜日

CVE-2011-3192 の新しい攻撃コードが公開されています

お久しぶりです。サイオス 鎌田です。今年も残すところあとわずかとなりました。今回は脆弱性のお話です。

夏の終わりごろ、HTTP サーバとして有名な Apache HTTPD に、CVE-2011-3192 という脆弱性が存在することが発覚し、アナウンスから 48 時間以内に修正を実施することを宣言するなど、少し大きな騒ぎとなりました。

現在は修正版もリリースされていますし、バージョンアップを行わずに設定を変更することで回避している方もいらっしゃるかと思います。設定を変更することで回避する方法として、当初 Apache HTTPD のアナウンスでは、Range ヘッダに 5 つ以上範囲指定されているリクエストを無視したり、HTTP リクエストのヘッダサイズを制限したり、Range ヘッダの指定をそもそも無視するといった方法を紹介していました。

今回、公開された新しい攻撃コードは、この設定変更による回避策のうち、Range ヘッダに 5 つ以上範囲指定されているリクエストを無視する方法と、HTTP リクエストのヘッダサイズを制限する方法を破る攻撃となっています。具体的には、Range ヘッダには 2 つの範囲指定を行い、Accept-Encoding ヘッダに gzip を指定したリクエストを頻繁に行うという、単純、かつ効果的に DoS を実現させる攻撃となっています。

そのため、Range ヘッダを無視することで回避を行っている方には影響がないのですが、どうしても Range ヘッダを有効化する方にとっては非常に厄介な攻撃コードが公開されたことになります。こうなると、対策方法としては Apache HTTPD をバージョンアップするしかありません。

このように、当初は良かった対策でも、新しい攻撃コードが公開されることによって再度脅威にさらされるというケースがありますので、一度稼働を始めたバージョンを使い続けるだけでなく、定期的にバージョンアップを行うことを前提とした運用を検討されることをお勧めいたします。

なお、現在公開されている最新の Apache HTTPD のバージョンは、2.2.21 となっています。

0 件のコメント:

コメントを投稿