Apache の脆弱性対策:Apache Killer 対策 | 空模様Apache Killer が危険そうなので対策を実施した。 ●Apache Killer とは GET もしくは HEAD メソッドで、多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。 8月20日に公開されたApacheの脆弱性(英語)をついたもので、現在パッチはリリースされていない(但し、8月25日時点で Apache 開発チームが、48時間以内にパッチをリリースすると発表している)。 ●攻撃を受けると具体的にどうなるか 仮想 OS で立てたサーバに攻撃を行い、どういう事象が発生するか実験してみた # Ubuntu 10.0.4 LTS # Apache 2.2.14 攻撃パケットは以下の画像の通り、Range ヘッダーに複数の指定を行うという単純なもの。尚、攻撃コードを見ると perl の fork を利用して並行で複数の
