JVNDB-2011-002172

Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性

Apache HTTPD サーバには、サービス運用妨害 (DoS) の脆弱性が存在します。

Apache HTTPD サーバには、Range ヘッダおよび Request-Range ヘッダの処理に問題があり、サービス運用妨害 (DoS) の脆弱性が存在します。

本脆弱性を使用した攻撃が観測されています。
また、"Apache Killer" と呼ばれる攻撃ツールが公開されています。

Apache のアドバイザリには、以下のように記載されています。

"Background and the 2007 report

There are two aspects to this vulnerability. One is new, is Apache specific; and resolved with this server side fix. The other issue is fundamentally a protocol design issue dating back to 2007:

http://seclists.org/bugtraq/2007/Jan/83

The contemporary interpretation of the HTTP protocol (currently) requires a server to return multiple (overlapping) ranges; in the order requested. This means that one can request a very large range (e.g. from byte 0- to the end) 100's of times in a single request.

Being able to do so is an issue for (probably all) webservers and currently subject of an IETF discussion to change the protocol:

http://trac.tools.ietf.org/wg/httpbis/trac/ticket/311

This advisory details a problem with how Apache httpd and its so called internal 'bucket brigades' deal with serving such "valid" request. The problem is that currently such requests internally explode into 100's of large fetches, all of which are kept in memory in an inefficient way. This is being addressed in two ways. By making things more efficient. And by weeding out or simplifying requests deemed too unwieldy."

Apache Software Foundation

• Apache HTTP Server 1.3 系
• Apache HTTP Server 2.x 系

IBM

• IBM HTTP Server 1.3
• IBM HTTP Server 2.0
• IBM HTTP Server 6.0
• IBM HTTP Server 6.1
• IBM HTTP Server 7.0
• IBM HTTP Server 8.0

アップル

• Apple Mac OS X v10.6.8
• Apple Mac OS X v10.7 および v10.7.1
• Apple Mac OS X Server v10.6.8
• Apple Mac OS X Server v10.7 および v10.7.1

オラクル

• Oracle Application Server 10g Release 3 version 10.1.3.5
• Oracle Application Server 10g Release 2 version 10.1.2.3
• Oracle Fusion Middleware 11g Release 1 versions 11.1.1.3
• Oracle Fusion Middleware 11g Release 1 versions 11.1.1.4
• Oracle Fusion Middleware 11g Release 1 versions 11.1.1.5
• Oracle Secure Backup 10.3.0.3
• Oracle Secure Backup 10.4.0.1
• Oracle Supply Chain Products Suite 5.5.06
• Oracle Supply Chain Products Suite 6.0
• Oracle Supply Chain Products Suite 6.1
• Oracle Supply Chain Products Suite 6.2
• Oracle Solaris 10 
• Oracle Solaris 11 Express

サイバートラスト株式会社

• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

ヒューレット・パッカード

• HP Secure Web Server for OpenVMS V2.2 およびそれ以前のバージョン
• HP-UX Web Server Suite v3.19
• HP-UX 11.23 
• HP-UX 11.31 

リコー

• Ridoc Document Router Pro V2 V.2.2.5.0 未満
• Ridoc Document Router V3 V.3.2.5.0 未満
• Ridoc Document Router V4 V.4.0.6.0 未満
• Ridoc Document Server EP V1／V1 タイプ H V.1.0.6.0 未満
• Ridoc Document Server EP V2／V2 タイプ H V.2.0.5.0 未満
• Ridoc Document Server V3 V.3.2.4.0 未満
• Ridoc Document System 画像ログオプション V1 V.1.1.5.0 未満
• Ridoc IO OperationServer  Pro / 機器運用管理ユーティリティー IS02.09.00 未満 
• Ridoc Web Navigator Lt V.1.0.6.0 未満
• Ridoc Web Navigator V3 V.3.3.8.0 未満

レッドハット

• Red Hat Enterprise Linux Server EUS  6.1.z  
• Red Hat Enterprise Linux Server EUS  6.0.z  
• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 6 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux ELS 3 
• Red Hat Enterprise Linux EUS 5.6.z (server) 
• Red Hat Enterprise Linux HPC Node 6 
• Red Hat Enterprise Linux Long Life (v. 5.3 server)
• Red Hat Enterprise Linux Long Life (v. 5.6 server)
• Red Hat Enterprise Linux Server 6 
• Red Hat Enterprise Linux Workstation 6 
• RHEL Desktop Workstation 5 (client) 

日本電気

• CSVIEW /Webアンケート
• CSVIEW /FAQナビ
• PASOLINK NMS
• WebOTX Enterprise Edition V4.1 から V6.5
• WebOTX Standard Edition V4.1 から V6.5
• WebOTX Standard-J Edition V4.1 から V6.5
• WebOTX Web Edition V4.1 から V6.5
• WebOTX Application Server Enterprise Edition V7.1 から V8.1
• WebOTX Application Server Enterprise V8.2 から V8.4
• WebOTX Application Server Express V8.2 から V8.4
• WebOTX Application Server Foundation V8.2 から V8.4
• WebOTX Application Server Standard Edition V7.1 から V8.1
• WebOTX Application Server Standard V8.2 から V8.4
• WebOTX Application Server Standard-J Edition V7.1 から V8.1
• WebOTX Enterprise Service Bus V6.4 から V8.4
• WebOTX Portal V8.2 から V8.3
• WebOTX SIP Application Server Standard Edition V7.1 から V8.1

日立

• Groupmax Collaboration - Server
• HiRDB RealTime Monitor
• Hitachi Device Manager Software
• Hitachi Global Link Manager Software
• Hitachi IT Operations Analyzer
• Hitachi IT Operations Director
• Hitachi Provisioning Manager Software
• Hitachi Replication Manager Software
• Hitachi Tiered Storage Manager Software
• Hitachi Tuning Manager Software
• Hitachi Web Server
• Job Management Partner 1/Automatic Job Management System 3 - Web Operation Assistant(英語版)
• Job Management Partner 1/Performance Management - Web Console (海外版)
• JP1/Automatic Job Management System 2 - Web Operation Assistant
• JP1/Automatic Job Management System 3 - Web Operation Assistant
• JP1/Cm2/SNMP System Observer
• JP1/HiCommand Device Manager
• JP1/HiCommand Provisioning Manager
• JP1/HiCommand Replication Monitor
• JP1/HiCommand Tiered Storage Manager
• JP1/HiCommand Tuning Manager
• JP1/Integrated Management - Service Support
• JP1/IT Resource Management - Manager
• JP1/IT Service Level Management - Manager
• JP1/Performance Management - Manager Web Option
• JP1/Performance Management - Web Console
• JP1/ServerConductor/Control Manager
• uCosminexus Application Server Enterprise
• uCosminexus Application Server Express
• uCosminexus Application Server Light
• uCosminexus Application Server Smart Edition
• uCosminexus Application Server Standard
• uCosminexus Application Server Standard-R
• uCosminexus Collaboration - Server
• uCosminexus Developer 01
• uCosminexus Developer Light
• uCosminexus Developer Professional
• uCosminexus Developer Professional for Plug-in
• uCosminexus Developer Standard
• uCosminexus Navigation Developer
• uCosminexus Navigation Platform - Authoring License
• uCosminexus Navigation Platform - User License
• uCosminexus Navigation Platform
• uCosminexus Primary Server Base
• uCosminexus Service Architect
• uCosminexus Service Platform
• uCosminexus Service Platform - Messaging
• uCosminexus Stream Data Platform - Application Framework
• 電子フォームワークフロー スタンダードセット
• 電子フォームワークフロー ディベロッパクライアントセット
• 電子フォームワークフロー ディベロッパセット
• 電子フォームワークフロー プロフェッショナル Libraryセット
• 電子フォームワークフロー プロフェッショナルセット
• 電子フォームワークフロー セット

富士通

• Internet Navigware Server
• Interstage Application Development Cycle Manager
• Interstage Application Framework Suite
• Interstage Application Server
• Interstage Apworks
• Interstage Business Application Server
• Interstage Form Coordinator Workflow
• Interstage Job Workload Server
• Interstage List Manager
• Interstage List Works
• Interstage Service Integrator
• Interstage Studio
• Interstage Web Server
• Interstage XML Business Activity Recorder
• Systemwalker Availability View
• Systemwalker Centric Manager
• Systemwalker Desktop Inspection
• Systemwalker IT Change Manager
• Systemwalker IT Process Master
• Systemwalker Resource Coordinator
• Systemwalker Runbook Automation
• Systemwalker Service Catalog Manager
• Systemwalker Service Quality Coordinator
• Systemwalker Software Configuration Manager
• クラウド インフラ マネージメント ソフトウェア

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

[アップデートする]
Apache HTTPD 2.2 のユーザは、開発者の提供する情報をもとに、最新版にアップデートしてください。

なお、開発者によると、本脆弱性に対応した Apache HTTPD 2.0 のパッチを提供する予定とのことです。
Apache HTTPD 1.3 系は非推奨のためパッチは提供されず、以下ワークアラウンドの実施が推奨されています。

[ワークアラウンドを実施する]
Apache のアドバイザリの "Mitigation" に、5 つのワークアラウンドが記載されています。

Apache Software Foundation

• Apache httpd 2.2 vulnerabilities : Fixed in Apache httpd 2.2.20
• Apache Software Foundation : Range header DoS vulnerability Apache HTTPD 1.3/2.x UPDATE 2
• Apache Software Foundation : Range header DoS vulnerability Apache HTTPD 1.3/2.x
• Apache Software Foundation : Apache HTTP Server 2.2.20 Released
• Apache Software Foundation : Downloading the Apache HTTP Server
• Changes with Apache : Changes with Apache 2.2.20

Canonical

• Ubuntu Security Notice : USN-1199-1

IBM

• IBM Support Document : 4030863
• IBM Support Document : 1512087
• IBM Support Document : 7021867
• IBM サポート & ダウンロード : J1008222
• IBM サポート & ダウンロード : J1008285

Mandriva, Inc.

• Security Advisories : MDVSA-2011:130

SUSE

• opensuse-security-announce : openSUSE-SU-2011:0993
• opensuse-security-announce : SUSE-SU-2011:1000
• opensuse-security-announce : SUSE-SU-2011:1007
• opensuse-security-announce : SUSE-SU-2011:1010

アップル

• Apple Security Updates : HT5002

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2012
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2012
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2012 Risk Matrices
• Oracle Security Alert : alert-cve-2011-3192-485304
• SECURITY BLOG : cve_2011_3192_denial_of
• SECURITY BLOG : January 2012 Critical Patch Update Released
• SECURITY BLOG : CVE-2011-3192 Denial of Service vulnerability in Apache HTTP Server
• SECURITY BLOG : July 2012 Critical Patch Update Released

サイバートラスト株式会社

• MIRACLE LINUX アップデート情報 : 2236

シスコシステムズ

• Cisco Security Advisory : cisco-sa-20110830-apache
• シスコ セキュリティアドバイザリ : cisco-sa-20110830-apache

ヒューレット・パッカード

• HP Support document : HPSBUX02707 SSRT100626
• HP Support document : HPSBUX02702 SSRT100606
• HP Support document : HPSBOV02822 SSRT100966

リコー

• Ricoh : Ridocソフトウェア製品での「Apache HTTPD サーバーにおけるサービス運用妨害 (DoS) の脆弱性」について

レッドハット

• Red Hat Security Advisory : RHSA-2011:1245
• Red Hat Security Advisory : RHSA-2011:1294
• Red Hat Security Advisory : RHSA-2011:1300
• Red Hat Security Advisory : RHSA-2011:1369
• Red Hat Security Advisory : RHSA-2011:1330
• Red Hat Security Advisory : RHSA-2011:1329

日本電気

• NEC製品セキュリティ情報 : NV11-005

日立

• Hitachi Software Vulnerability Information : HS11-019
• Hitachi Software Vulnerability Information : HS11-020
• Hitachi Software Vulnerability Information : HS11-021
• Hitachi Software Vulnerability Information : HS11-022
• ソフトウェア製品セキュリティ情報 : HS11-019
• ソフトウェア製品セキュリティ情報 : HS11-020
• ソフトウェア製品セキュリティ情報 : HS11-021
• ソフトウェア製品セキュリティ情報 : HS11-022

富士通

• サポート技術情報 : interstage_as_201102
• 富士通 公開脆弱性情報 : VU#405811

1. リソースの枯渇(CWE-400) [NVD評価]

1. CVE-2011-3192

1. JVN : JVNVU#405811
2. JVN Status Tracking Notes : JVNTR-2011-05
3. National Vulnerability Database (NVD) : CVE-2011-3192
4. JPCERT 緊急報告 : JPCERT-AT-2011-0023
5. US-CERT Vulnerability Note : VU#405811
6. IPA 緊急対策情報 : 20110831-apache
7. Secunia Advisory : SA45606
8. SecurityFocus : 49303
9. SecurityTracker : 1025960
10. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 74721

• [2011年09月01日]
    掲載
  [2011年09月20日]
    影響を受けるシステム：ミラクル・リナックス (2236) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02702) の情報を追加
    ベンダ情報：Apache Software Foundation (Apache httpd 2.2 vulnerabilities) を追加
    ベンダ情報：ミラクル・リナックス (2236) を追加
    ベンダ情報：IBM (4030863) を追加
    ベンダ情報：IBM (1512087) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02702) を追加
  [2011年11月28日]
    影響を受けるシステム：日立 (HS11-019) の情報を追加
    影響を受けるシステム：日立 (HS11-020) の情報を追加
    影響を受けるシステム：日立 (HS11-021) の情報を追加
    影響を受けるシステム：日立 (HS11-022) の情報を追加
    影響を受けるシステム：オラクル (cve_2011_3192_denial_of) の情報を追加
    影響を受けるシステム：オラクル (alert-cve-2011-3192-485304) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02702) の情報を更新
    影響を受けるシステム：レッドハット (RHSA-2011:1294) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2011:1300) の情報を追加
    ベンダ情報：日立 (HS11-019) を追加
    ベンダ情報：日立 (HS11-020) を追加
    ベンダ情報：日立 (HS11-021) を追加
    ベンダ情報：日立 (HS11-022) を追加
    ベンダ情報：IBM (7021867) を追加
    ベンダ情報：IBM (J1008285) を追加
    ベンダ情報：オラクル (cve_2011_3192_denial_of) を追加
    ベンダ情報：オラクル (alert-cve-2011-3192-485304) を追加
    ベンダ情報：レッドハット (RHSA-2011:1294) を追加
    ベンダ情報：レッドハット (RHSA-2011:1300) を追加
  [2011年12月06日]
    影響を受けるシステム：富士通 (interstage_as_201102) の情報を更新
  [2012年01月18日]
    影響を受けるシステム：オラクル (Oracle Critical Patch Update Advisory - January 2012) の情報を追加
    影響を受けるシステム：アップル (HT5002) の情報を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2012) を追加
    ベンダ情報：オラクル (January 2012 Critical Patch Update Released) を追加
    ベンダ情報：アップル (HT5002) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02707 SSRT100626) を追加
    ベンダ情報：レッドハット (RHSA-2011:1329) を追加
    ベンダ情報：レッドハット (RHSA-2011:1330) を追加
    ベンダ情報：レッドハット (RHSA-2011:1369) を追加
    ベンダ情報：SUSE Linux (openSUSE-SU-2011:0993) を追加
    ベンダ情報：SUSE Linux (SUSE-SU-2011:1000) を追加
    ベンダ情報：SUSE Linux (SUSE-SU-2011:1007) を追加
    ベンダ情報：SUSE Linux (SUSE-SU-2011:1010) を追加
    ベンダ情報：Ubuntu (USN-1199-1) を追加
    ベンダ情報：Mandriva (MDVSA-2011:130) を追加
  [2012年02月15日]
    影響を受けるシステム：日本電気 (NV11-005) の情報を追加
    ベンダ情報：日本電気 (NV11-005) を追加
  [2012年05月14日]
    ベンダ情報：オラクル (CVE-2011-3192 Denial of Service vulnerability in Apache HTTP Server) を追加
  [2012年07月20日]
    影響を受けるシステム：オラクル (Oracle Critical Patch Update Advisory - July 2012) の情報を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2012) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2012 Risk Matrices) を追加
    ベンダ情報：オラクル (July 2012 Critical Patch Update Released) を追加
  [2012年08月13日]
    ベンダ情報：シスコシステムズ (cisco-sa-20110830-apache) を追加
  [2012年11月28日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBOV02822 SSRT100966) の情報を追加
    ベンダ情報：ヒューレット・パッカード (HPSBOV02822 SSRT100966) を追加
  [2012年11月30日]
    影響を受けるシステム：リコー (Ridocソフトウェア製品での「Apache HTTPD サーバーにおけるサービス運用妨害 (DoS) の脆弱性」について) の情報を追加
    ベンダ情報：リコー (Ridocソフトウェア製品での「Apache HTTPD サーバーにおけるサービス運用妨害 (DoS) の脆弱性」について) を追加
  [2013年10月23日]
    影響を受けるシステム：日本電気 (NV11-005) の情報を追加
    ベンダ情報：日本電気 (NV11-005) の情報を更新
  [2017年07月25日]
    影響を受けるシステム：ベンダ情報 (NV11-005) の更新に伴い内容を更新