カテゴリー
Vulnerability

PHPやらApacheやら。

投稿アップデート情報  追記(8/28) 追記2(8/29) 追記3(8/31) 追記4(9/16)

 Apache Killerの件のパッチはいつになったら,出るんだろう。Apache HTTPD Security ADVISORYの記事の最初の時刻は,8/24 16:16:39 GMT(日本時間8/25 00:16:39 だっけ。イギリスはまだ夏時間だよね。)になっていて,48時間でパッチを出したいと書いているのだが,8/26 10:35:31 GMT(日本時間8/26 18:35:31)の記事では,あと1日みたいなことを書いてある。もうすぐ経過するよね。今度は出るだろうか。

 こういうことって,素人に毛の生えたようなサーバ管理者(もちろん自分のこと!! こんなところで威張ってどうするんだ―爆)には,頭痛の種。どうすればいいかよくわからん。Bug 51714からDoS Exploit for mentioned vulnerabilityを落として試してみようとしたら,バスター君の異議で落とせなかった。ブラウザで見るだけでなく,ダウンロード自体ができない。この辺を弄るのも面倒なので,やめることにした。

 Apache LoungeのWarning Security issue :: DoS attack with range requests !のSteffenの書き込みにしたがって,手当てをしておくべきだろうか。うちのような零細なところに故意に攻撃してくるとは思えないけど,「下手な鉄砲も数撃ちゃ当たる」でバカなことをやる頭の悪いハッカーがいたら,流れ弾に当たらないとも限らない。どうせ今まで,おどおどしながら手をこまねいていたんだから,パッチが出るのを待っていようかな。modsecurity_crs_20_protocol_violations.confを利用するのなら,あんまりよくわからなくても手当てだけはできそうだから,やっぱりやっておこうかな。

 しかし,この間のPHP ver.5.3.7のとんでもないバグといいい,こういうことがあるときには続くものですね。

追記(8/28):
 結局,24時間以上たっても,正規のパッチは出ていないもよう。
 ということで昨日,やっぱりやっておいた方がいいかなと思ったことについてだけど,徳丸さんが,
     訂正:mod_securityのCore Rule Set 2.2.2に含まれるApache Killerルールは
     とても効果があるけど、Rangeヘッダのみの対応で、Request-Rangeヘッダには
     対応していないので、他の回避策をとった方が良さそうですね
とつぶやいておられたので,どうしたらいいかなと思いつつ寝た。朝,Twitterを見に行ったら,日記を書いたとつぶやいておられたので,早速見に行った。さすがに徳丸さんで,詳しい検証付きで「Apache killerは危険~Apache killerを評価する上での注意~」を書いておられた。

 徳丸さんは,Apache2.2系を使っておられるとのことなので,この記事を参考に,httpd.confを手直しした。いつも,お世話になります(拝)。あまりにも常識なので,徳丸さんが書いていないことの備忘(汗)。
     LoadModule headers_module modules/mod_headers.so のアンコメント。
     Apacheの再起動。
と思ったら,再起動については,Twitterでつぶやいておられた(爆)。

追記2(8/29):
 パッチはまだ出ていない。Apache Killer (CVE-2011-3192)には,「はっきりと攻撃元のログが残ってしまうので、むやみに撃つのはやめたほうがいいかなと思います。」と書いてある。(笑)

追記3(8/31):対応のApache 2.2.20が出ました。

追記4(9/16):
 アパッチ本家で2.2.21(released 2011-09-13)が出ました。2011-09-14 06:06リリースのCVE-2011-3192.txtがこの件のADVISORYの最終版のよう。
 Loungeでも,Apache 2.2.21 releasedということらしいです。9/8にサイトをXREA+に移したため,サーバのセキュリティアップデートが喫緊の課題でなくなったため,書き込みが遅くなってしまいました。「対岸の火事」と思うと対応がいい加減になるという典型です。お粗末。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です