はてなブックマーク

既にヘッダ削除設定で対応を終えた人も多いと思いますが、新しいバージョンが出た様なので。 まだ未対策の人は、どちらの対応がリスクが低いか判断して対策されると良いかと思います。 新バージョンのアナウンスは以下です。 Apache HTTP Server 2.2.20 Released http://www.apache.org/dist/httpd/Announcement2.2.html 他に変わってる箇所もありますが、今回の脆弱性(CVE-2011-3192)対応で修正された 箇所で、外部からアクセスした際にも変更がみられる点がメインになります。 当然プロセスが肥大化する部分は直ってますが、内部動作なので詳細は省略します。 バージョンは2.2.19と2.2.20の比較になります。 Rangeリクエスト関連の処理で変更があった、無かった箇所は以下の通りです。 動作が変わった点 32区間を超え

気になって調べてたら細かくなってしまったのでエントリ分離。 コンテンツサイズ依存やPoCの独特な区間指定の謎が気になった人向けです。 対策や概要だけで良い方は前々回のエントリをご覧ください。 CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.x http://d.hatena.ne.jp/nice20/20110825/p1 まず最も誤解されそうな点として、今回のプロセス肥大化はコンテンツサイズ やレスポンスサイズに比例する訳ではありません。 元となるコンテンツに要求した区間を満たす程度のサイズは必要ですが、 一定以上は大きくても変わらない結果になります。 コンテンツサイズとプロセスサイズの関係についてはこちらにまとまっています。 1300bytes付近に壁があるのがよく分かると思います。 Apache kill

Linuxで負荷も問題になるほど高くなくlisten及びsynのbacklogも溢れてないのに 特定のホストからのみSYNを吸い込んでSYN-ACKを返さない事がある場合があった。 必ず吸い込むというわけではなく、一発で通る場合と数回再送受けてから処理するのも あったりして謎な感じ。tcpdumpで見てもパケット単位の不整合は特に見あたらない。 受け付けている環境で変更されていたTCPパラメータは以下で、syncookies以外は IN/OUTどの部分の処理に関わるのかDocument読んでも良く解らないので、それぞれに ついて参照箇所を調べてみた。(PATHはKERNELのnet/以下) net.ipv4.tcp_tw_reuse (sysctl_tcp_tw_reuse) Outbound Connectionだけ影響 ipv4/tcp_ipv4.c:tcp_v4_connect ip

iSCSI SAN bootはHBAが高い、使用できるハードウェアが限られる等あるので PXE経由でiSCSI BOOT出来るように頑張ってみた。 InitiatorとしてはLinux-iSCSIはもうメンテされてないし、色々面倒なので Open-iSCSIを使用。なお、CentOS5にはiscsi-initiator-utilsとして入っている。 iSCSI Target設定 iSCSI TargetはiSCSI Enterprise Target等を使って適当にでっち上げる。 モジュールをビルド、インストールはCentOS5等だと特に問題なく可能。 最終的には専用のストレージ使うにしろテストにはこれで十分。 設定は以下の様に /etc/ietd.conf に追記。 最低限の設定はIQNとブロックデバイスの割り当てを記述するだけ。 ブロックデバイスの代わりにファイルも使えたりもする。 T

前回の続き。 パケット自体を零さずに処理に入った後にSYNを落とすのは以下3パターン。 syncookie無効時にsynのbacklog(tcp_max_syn_backlog)が溢れている listenのbacklogが溢れている(3way-handshake完了後のaccept待ち接続) net.ipv4.tcp_tw_recycleの制限に抵触 で、今回問題になっていたのは最後のtcp_tw_recycleへの抵触だった。 現象として発生しうるのは、以下の条件をすべて満たす場合 サーバ側でnet.ipv4.tcp_tw_recycleが有効 TCPタイムスタンプオプションを使用 同一IPからの接続でセッションを跨ぐとセットされるTCPタイムスタンプの値が戻る場合がある 最後の条件が微妙だが、TCPタイムスタンプの値としてセットされる値は起動時を 起算時にしていたりと実装によって初期値