- 会員限定
- 2011/09/07 掲載
Apacheのセキュリティ対策、「Apache Killer」をCIOが無視してはならない2つの理由
フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。
Apacheへのゼロデイ攻撃が発生?
8月の半ばを過ぎたあたりに、HTTPリクエストのRangeフィールドに関する脆弱性が、セキュリティ関連の業界で話題になっていた。問題点は、Rangeフィールドに長いパラメータやフィールドの繰り返しがあると、その対処方法が実装依存になっており、大量のリクエストにつながりDoS攻撃(サービス停止攻撃)が可能になるというものだ。実際に、その手法を用いた攻撃らしきものも確認されていた。それが「Apache Killer」と呼ばれるPerlスクリプトだ。すぐさま、各国のセキュリティ機関が対応や調整活動に入ったが、その時点で攻撃の報告などもあったので、形の上ではゼロデイ攻撃といえる事態になっていたわけだ。
8月24日にはApache開発チームからアドバイザリーが出され、上記の問題点の公表と、応急措置としてRangeフィールドを無効にしたり、カウンタを設けて制御するような対策の公開が行われた。続いて30日には、この問題に対応した新しいApacheのバージョン、2.2.20がリリースされ、更新するようにアナウンスがされている。
現時点では、このバージョンアップでApache Killerの攻撃は無効化できることが、各所で確認されている。なお、Rangeフィールドの扱いはMicrosoftのIISでは、上限を設定しているため、この攻撃の影響はないそうだ。
この件が企業にとって無視できない理由
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
PR
PR
PR