ApacheにDoS攻撃を受ける脆弱性、JPCERT/CCが注意喚起


 JPCERTコーディネーションセンター(JPCERT/CC)は31日、ウェブサーバープログラム「Apache HTTP Server」にサービス運用妨害(DoS)の脆弱性が存在するとして、注意喚起を行った。

 開発元のApache Software Foundationによると、この攻撃はHTTPでファイルの一部分の転送を要求する「Range」ヘッダーを悪用し、1回のリクエストに多数の範囲を含めることでウェブサーバーのシステムリソースを大量に使用させ、サービス不能状態に陥らせるもの。既に、この脆弱性を悪用する攻撃ツールが公開されており、攻撃も確認されているという。

 脆弱性は、Apache HTTP Serverの2.x系および1.3系のすべてのバージョンに影響がある。Apache Software Foundationでは、この脆弱性を修正したApach HTTP Server 2.2.20を公開しており、JPCERT/CCでは十分なテストを実施した上で新バージョンを適用することを推奨している。

 また、8月31日現在でApache 2.0系の修正済みプログラムは公開されておらず、Apache 1.3系については既にサポートが終了しているため、これらのバージョンを使用している場合にはApache Software Foundationが公開している回避策の適用またはアップグレードを検討してほしいとしている。

 JPCERT/CCでも、脆弱性を使用する一部の攻撃コードについて検証を行った結果、バージョン2.2.20ではサービス不能状態にはならなかったが、バージョン2.2.19ではメモリ使用量が増加しレスポンスが低下、バージョン2.2.9および2.0.64ではサーバー自体の操作が不能な状態になったという。


関連情報

(三柳 英樹)

2011/8/31 17:51