CVE-2011-3192 Range header DoS vulnerability Apache 1.3/2.x の更に続き - LowPriority
気になって調べてたら細かくなってしまったのでエントリ分離。 コンテンツサイズ依存やPoCの独特な区間指定の謎が気になった人向けです。 対策や概要だけで良い方は前々回のエントリをご覧ください。 CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.x http://d.hatena.ne.jp/nice20/20110825/p1 まず最も誤解されそうな点として、今回のプロセス肥大化はコンテンツサイズ やレスポンスサイズに比例する訳ではありません。 元となるコンテンツに要求した区間を満たす程度のサイズは必要ですが、 一定以上は大きくても変わらない結果になります。 コンテンツサイズとプロセスサイズの関係についてはこちらにまとまっています。 1300bytes付近に壁があるのがよく分かると思います。 Apache kill
CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.x - LowPriority
数日前からFull Disclosureで騒がれてたけどやっとCVE採番されたので。 以前のISC BINDの脆弱性(CVE-2011-1910)とかに比べるとzero-day状態に なったにも関わらずApache側の動きが遅い気もします。(表に見えてなかっただけ?) アドバイザリは以下 CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.x http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/raw/%3C20110824161640.122D387DD@minotaur.apache.org%3E/ DoSだけといってしまえばそれまでですが、Apache HTTPDでは久しぶりに 現時点で出ている全バージョンが対象 (2011/
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
