커피닉스, 시스템 엔지니어의 쉼터 :: 주제 보기 - 아파치 웹서버, 심각한 DoS 취약점과 패치 버전

커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳

FAQ

검색

멤버리스트

사용자 그룹

사용자 등록하기

개인 정보

비공개 메시지를 확인하려면 로그인하십시오

로그인

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..

BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시

아파치 웹서버, 심각한 DoS 취약점과 패치 버전

커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보

이전 주제 보기 :: 다음 주제 보기

글쓴이

메시지

truefeel
카페 관리자

가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올려짐: 2011.9.02 금, 1:30 pm 주제: 아파치 웹서버, 심각한 DoS 취약점과 패치 버전

얼마전 '아파치 웹서버를 한방에 다운시키는 Range요청 취약점' (글 좋은진호)이 발표되었다.

국내에서는 이 DoS 취약점에 대해 너무나 조용하지만, 한방에 서버를 다운시킬 수 있는 심각한 문제이다. 아파치 웹서버(Apache)에 정상적이지 않은 형태로 Range 헤더를 요청하면, 웹서버의 load는 단 몇초만에 급상승하여 서버는 응답을 처리할 수가 없다.

아파치 1.3, 2.0, 2.2버전대 모두 DoS 취약점이 존재한다. 31일(수)에 DoS 취약점을 패치한 2.2.20 버전을 발표했다.

인용:

SECURITY: CVE-2011-3192 (cve.mitre.org) core: Fix handling of byte-range requests to use less memory, to avoid denial of service. If the sum of all ranges in a request is larger than the original file, ignore the ranges and send the complete file. PR 51714.

예전 1.3.x버전 운영중인 분들은 더 이상 지원하지 않는 버전대를 버리고 2.2.x대로 갈아타시기 권장한다. 2.2.20 테스트 결과, 해당 취약점이 패치된 것을 확인했다.

아파치 웹서버를 사용하는 어플라이언스 장비들도 주의가 필요하다. 아파치 기반 웹서버들(대표적인 것이 오라클 ias)도 마찬가지다. Cisco는 얼마전 아파치를 사용하는 자사 제품에 대해 보안권고사항을 발표했다.

Cisco Security Advisory: Apache HTTPd Range Header Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20110830-apache.shtml

위처럼 서버만 살펴봐서는 안된다. 아파치가 운영되는 어플라이언스까지 꼭 살펴봐야 한다. 외부에서 이 장비들에게 접근이 가능하다면 서비스 장애에 심각한 요소가 될 수 있다.

* Apache 2.2.20 Release 정보 :
　 http://www.apache.org/dist/httpd/Announcement2.2.html
　 http://www.apache.org/dist/httpd/CHANGES_2.2.20
* 다운받기 : http://ftp.daum.net/apache/httpd/

* 관련글 : Apache killer 위협 (jjun님) ( 2011.8.29 )

※ 국내의 대응이 너무 늦고 심각성을 모르는 것 같아서, 블로그에 썼던 글을 조금 수정하여 올린다.

위로

이전 글 표시:

	커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보	시간대: GMT + 9 시간(한국)
페이지 1 중 1

새로운 주제를 올릴 수 있습니다
답글을 올릴 수 있습니다
주제를 수정할 수 없습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다