Skip to content

?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
apache killer에 대한 버그 패치 (3192)에 대한 improved 버전(http://httpd.apache.org/security/CVE-2011-3192.txt)과 새로 발생된 3348 보안 패치에 대해서 apache httpd 쪽에서 패치를 내놓았다.

dos 공격시 문제를 줄인 버그라고 하니. 패치하는 게 좋을 것 같다.

https://www.redhat.com/security/data/cve/CVE-2011-3348.html
https://bugzilla.redhat.com/show_bug.cgi?id=736690
mod_proxy_ajp 모듈이 잘못된 HTTP requests이 요청이 왔을때 문제가 일어날 수 있다.

moderate: mod_proxy_ajp remote DoS CVE-2011-3348

A flaw was found when mod_proxy_ajp is used together with mod_proxy_balancer. Given a specific configuration, a remote attacker could send certain malformed HTTP requests, putting a backend server into an error state until the retry timeout expired. This could lead to a temporary denial of service.



□ 개요
   o Apache웹서버에 원격 서비스거부(Denial of Service) 공격 가능한 신규 취약점이 발견됨 [1]
   o 공격자는 특수하게 조작된 HTTP패킷을 전송하여 아파치 서비스가 동작중인 서버의 메모리를
      고갈시킬 수 있음
   o 해당 취약점 정보 및 공격 도구가 공개 배포됨에 따라 피해를 입을 수 있으므로 웹서버관리자의
      적극적인 조치 필요

□ 해당 시스템
   o 영향 받는 소프트웨어 [1]
     - Apache 1.3.x 및 이전 버전
     - Apache 2.2.19 및 이전 버전
      ※ 자세한 버전은 참고사이트 참조

□ 해결방안
   o 취약한 버전을 운용하고있는 웹서버 관리자는 Apache 2.2.20버전으로 업데이트[2]
     ※ Apache 1.3버전의 경우 업데이트 지원이 중단되었으므로, 해당 버전 운용자는2.2.20버전으로
         업그레이드 권고

□ 용어 정리
   o Apache : WWW(World Wide Web)서버 소프트웨어

□ 기타 문의사항
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192
[2] http://httpd.apache.org/download.cgi



Apache HTTP Server 2.2.21 Released 2011-09-13

The Apache HTTP Server Project is proud to announce the release of version 2.2.21 of the Apache HTTP Server ("httpd"). This version is principally a security and bugfix release. Notably, it resolves CVE-2011-3348 and provides further bug fixes to the resolution of CVE-2011-3192(initially corrected in 2.2.20).

The current advisory for CVE-2011-3192 has been be revised athttp://httpd.apache.org/security/CVE-2011-3192.txt and further updates for the community will be published to this url.

This version of httpd is a major release of the stable branch, and represents the best available version of Apache HTTP Server. New features include Smart Filtering, Improved Caching, AJP Proxy, Proxy Load Balancing, Graceful Shutdown support, Large File Support, the Event MPM, and refactored Authentication/Authorization.


3192에 대한 문제를 원천적으로 해결하기 위해서 이번 버전부터 MaxRange라는 지시자가 새로 생겼다. 
최대값은 200이다.
(http://httpd.apache.org/docs/2.2/mod/core.html#maxranges)

MaxRanges Directive

Description: Number of ranges allowed before returning the complete resource
Syntax: MaxRanges default | unlimited | none | number-of-ranges
Default: MaxRanges 200
Context: server config, virtual host, directory
Status: Core
Module: core
Compatibility: Available in Apache HTTP Server 2.2.21 and later

The MaxRanges directive limits the number of HTTP ranges the server is willing to return to the client. If more ranges then permitted are requested, the complete resource is returned instead.

default
Limits the number of ranges to a compile-time default of 200.
none
Range headers are ignored.
unlimited
The server does not limit the number of ranges it is willing to satisfy.
number-of-ranges
A positive number representing the maximum number of ranges the server is willing to satisfy.

  1. No Image 16Jan
    by ADMINPLAY
    2012/01/16 by ADMINPLAY
    Views 20093 

    KeepAlive 설정 및 정의

  2. [Apache] MPM(Prefork VS Worker)

  3. No Image 16Jan
    by ADMINPLAY
    2012/01/16 by ADMINPLAY
    Views 17141 

    Apache Worker 방식의 이해 및 설정법

  4. No Image 16Jan
    by ADMINPLAY
    2012/01/16 by ADMINPLAY
    Views 19844 

    Apache 2.2.21 패치 (mod_proxy_ajp 패치와 apache killer 보완) (9월 13일)

  5. No Image 18Aug
    by ADMINPLAY
    2011/08/18 by ADMINPLAY
    Views 20578 

    Apache 2.2.17 (mod_url 하고 mod_rewrite 충돌)

  6. No Image 18Jun
    by ADMINPLAY
    2011/06/18 by ADMINPLAY
    Views 19192 

    아파치(apache) 무단 링크 방지

  7. No Image 18Mar
    by ADMINPLAY
    2011/03/18 by ADMINPLAY
    Views 21536 

    mod_deflate 설정

  8. No Image 25Oct
    by ADMINPLAY
    2010/10/25 by ADMINPLAY
    Views 21891 

    Apache: client denied by server configuration

  9. No Image 22Sep
    by ADMINPLAY
    2010/09/22 by ADMINPLAY
    Views 20874 

    리눅스 개인계정 로딩시 틸드(~)기호없이 그냥 사용

  10. No Image 17Sep
    by ADMINPLAY
    2010/09/17 by ADMINPLAY
    Views 23207 

    apache, tomcat 가상디렉토리 설정

  11. No Image 31Aug
    by ADMINPLAY
    2010/08/31 by ADMINPLAY
    Views 21398 

    apache 외부링크 차단

  12. No Image 26Aug
    by ADMINPLAY
    2010/08/26 by ADMINPLAY
    Views 19006 

    Apache - 도메인 포워딩

  13. No Image 29Jul
    by ADMINPLAY
    2010/07/29 by ADMINPLAY
    Views 19291 

    mod_gzip, mod_deflate

  14. 웹방화벽 ModSecurity 룰적용 순서

  15. No Image 29May
    by l2zeo
    2010/05/29 by l2zeo
    Views 20995 

    APM + Snort + ADODB + BASE + oinkmaster 설치

  16. 트래픽분석툴(mod_throttle) 설치 및 설정 - apache1.3.x 버젼용

  17. No Image 03May
    by ADMINPLAY
    2010/05/03 by ADMINPLAY
    Views 26958 

    *** glibc detected *** double free or corruption (!prev): 0x09f1ab80 ***

  18. No Image 24Feb
    by ADMINPLAY
    2010/02/24 by ADMINPLAY
    Views 19771 

    apache + oracle (오라클 DB 한글깨짐)

  19. No Image 30Jan
    by ADMINPLAY
    2010/01/30 by ADMINPLAY
    Views 19013 

    아파치 GeoIP를 이용한 국가별 제한

  20. No Image 10Dec
    by ADMINPLAY
    2009/12/10 by ADMINPLAY
    Views 19338 

    apache server 2.2, Tomcat5.5 로드밸런싱 및 클러스터

Board Pagination Prev 1 2 3 4 5 Next
/ 5

Copyright ADMINPLAY corp. All rights reserved.

abcXYZ, 세종대왕,1234

abcXYZ, 세종대왕,1234