Skip to content

?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
apache killer에 대한 버그 패치 (3192)에 대한 improved 버전(http://httpd.apache.org/security/CVE-2011-3192.txt)과 새로 발생된 3348 보안 패치에 대해서 apache httpd 쪽에서 패치를 내놓았다.

dos 공격시 문제를 줄인 버그라고 하니. 패치하는 게 좋을 것 같다.

https://www.redhat.com/security/data/cve/CVE-2011-3348.html
https://bugzilla.redhat.com/show_bug.cgi?id=736690
mod_proxy_ajp 모듈이 잘못된 HTTP requests이 요청이 왔을때 문제가 일어날 수 있다.

moderate: mod_proxy_ajp remote DoS CVE-2011-3348

A flaw was found when mod_proxy_ajp is used together with mod_proxy_balancer. Given a specific configuration, a remote attacker could send certain malformed HTTP requests, putting a backend server into an error state until the retry timeout expired. This could lead to a temporary denial of service.



□ 개요
   o Apache웹서버에 원격 서비스거부(Denial of Service) 공격 가능한 신규 취약점이 발견됨 [1]
   o 공격자는 특수하게 조작된 HTTP패킷을 전송하여 아파치 서비스가 동작중인 서버의 메모리를
      고갈시킬 수 있음
   o 해당 취약점 정보 및 공격 도구가 공개 배포됨에 따라 피해를 입을 수 있으므로 웹서버관리자의
      적극적인 조치 필요

□ 해당 시스템
   o 영향 받는 소프트웨어 [1]
     - Apache 1.3.x 및 이전 버전
     - Apache 2.2.19 및 이전 버전
      ※ 자세한 버전은 참고사이트 참조

□ 해결방안
   o 취약한 버전을 운용하고있는 웹서버 관리자는 Apache 2.2.20버전으로 업데이트[2]
     ※ Apache 1.3버전의 경우 업데이트 지원이 중단되었으므로, 해당 버전 운용자는2.2.20버전으로
         업그레이드 권고

□ 용어 정리
   o Apache : WWW(World Wide Web)서버 소프트웨어

□ 기타 문의사항
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192
[2] http://httpd.apache.org/download.cgi



Apache HTTP Server 2.2.21 Released 2011-09-13

The Apache HTTP Server Project is proud to announce the release of version 2.2.21 of the Apache HTTP Server ("httpd"). This version is principally a security and bugfix release. Notably, it resolves CVE-2011-3348 and provides further bug fixes to the resolution of CVE-2011-3192(initially corrected in 2.2.20).

The current advisory for CVE-2011-3192 has been be revised athttp://httpd.apache.org/security/CVE-2011-3192.txt and further updates for the community will be published to this url.

This version of httpd is a major release of the stable branch, and represents the best available version of Apache HTTP Server. New features include Smart Filtering, Improved Caching, AJP Proxy, Proxy Load Balancing, Graceful Shutdown support, Large File Support, the Event MPM, and refactored Authentication/Authorization.


3192에 대한 문제를 원천적으로 해결하기 위해서 이번 버전부터 MaxRange라는 지시자가 새로 생겼다. 
최대값은 200이다.
(http://httpd.apache.org/docs/2.2/mod/core.html#maxranges)

MaxRanges Directive

Description: Number of ranges allowed before returning the complete resource
Syntax: MaxRanges default | unlimited | none | number-of-ranges
Default: MaxRanges 200
Context: server config, virtual host, directory
Status: Core
Module: core
Compatibility: Available in Apache HTTP Server 2.2.21 and later

The MaxRanges directive limits the number of HTTP ranges the server is willing to return to the client. If more ranges then permitted are requested, the complete resource is returned instead.

default
Limits the number of ranges to a compile-time default of 200.
none
Range headers are ignored.
unlimited
The server does not limit the number of ranges it is willing to satisfy.
number-of-ranges
A positive number representing the maximum number of ranges the server is willing to satisfy.

List of Articles
번호 제목 글쓴이 날짜 조회 수
28 Apache: client denied by server configuration ADMINPLAY 2010.10.25 21891
27 mod_deflate 설정 ADMINPLAY 2011.03.18 21536
26 아파치(apache) 무단 링크 방지 ADMINPLAY 2011.06.18 19192
25 Apache 2.2.17 (mod_url 하고 mod_rewrite 충돌) file ADMINPLAY 2011.08.18 20578
» Apache 2.2.21 패치 (mod_proxy_ajp 패치와 apache killer... ADMINPLAY 2012.01.16 19844
23 Apache Worker 방식의 이해 및 설정법 ADMINPLAY 2012.01.16 17141
22 [Apache] MPM(Prefork VS Worker) ADMINPLAY 2012.01.16 19830
21 KeepAlive 설정 및 정의 ADMINPLAY 2012.01.16 20093
20 Apache 로그레벨의 종류 ADMINPLAY 2012.01.16 21075
19 apache cronolog를 이용한 Apache Log File 날짜 별로 생... ADMINPLAY 2012.01.16 23735
18 Apache mod_deflate ADMINPLAY 2012.01.16 23609
17 (간단한 팁) 우분투에 Apache2 설치하기 ( apt-get ) 로키 2012.04.01 17841
16 서비스 제한측면의 아파치 활용 예제 ADMINPLAY 2012.06.26 30545
15 [정보] [Apache+PHP] Segmentation Fault가 발생할 경우 ADMINPLAY 2012.07.27 48200
14 Apache 에서 최대 접속자 수 늘리기 ADMINPLAY 2012.07.30 14630
13 h264 스트리밍 서버 구축(리눅스,아파치) (실시간 아님, ... ADMINPLAY 2012.08.13 17432
12 아파치에서 멀티도메인 설정 방법 1 l2zeo 2012.10.09 21217
11 우분투9.10 - Tomcat6 와 Apache2연동 ADMINPLAY 2012.10.31 11635
10 apache가 worker 모드인지 prefork 모드로 동작하는지 확인 1 file l2zeo 2013.01.21 17757
9 웹페이지 가속 기술인 모드 페이지스피드(mod_pagespeed)... l2zeo 2013.01.27 12495
Board Pagination Prev 1 2 3 4 5 Next
/ 5

Copyright ADMINPLAY corp. All rights reserved.

abcXYZ, 세종대왕,1234

abcXYZ, 세종대왕,1234