Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定 - SourceForge.JP Magazine : オープンソースの話題満載(情報元のブックマーク数)
Apache Killer大変なことになってるなぁ・・・
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。
http://sourceforge.jp/magazine/11/08/25/0351236
Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエストを送信することなしにApacheに多大な負荷をかけられるという。
Apache HTTPサーバを運用している管理者は向こう数日間、かなり悩ましい状況に置かれる可能性がある。Full DisclosureにおいてApache HTTPサーバをリモートから攻撃してクラッシュさせるコードが公開されてしまったからだ。執筆段階ではこの脆弱性に対応したApache HTTPサーバはまだ公開されていない。
http://journal.mycom.co.jp/news/2011/08/26/078/index.html
今回のセキュリティ脆弱性の発見は、問題を解説する前に実際に攻撃するスクリプトが投稿されてしまった点に事の重大さがある。とても簡単なスクリプトでほかの言語で実装しなおすことも難しくない。この攻撃を実施されるとApache HTTPサーバはメモリを消費し続け、OSはスワップアウトをはじめることになる。スワップの空きがなくなればApache HTTPサーバはクラッシュすることになり、スワップ中のシステムはきわめて動作が鈍重になる。
パッチ出ました。
The Apache Software Foundation has announced a denial-of-service vulnerability that affects all versions of the ubiquitous Apache web server, leaving up to 65% of all websites vulnerable.
Apache exploit leaves up to 65% of all websites vulnerable – Naked Security