ApacheにDoS攻撃を受ける脆弱性

暑い、暑いと言っていた夏の間に、ネットではApacheDoS攻撃に対する脆弱性が見つかっていた。すでに攻撃用ツールも出回っているという。DNSサーバーと同じく、およそWebサーバーを持つ組織にはあまねく影響があるので、さっそく対策が急がれている。

Oracleが臨時アップデートを公開、Apacheの脆弱性に対処(ITmedia)
Apacheの更新版が公開に、攻撃横行の脆弱性に対処(9.1)
Apacheの未解決の脆弱性を突く攻撃が横行(8.25)
DoSの脆弱性を修正した「Apache 2.2.20」、公開(@IT)
ApacheのほぼすべてにDoS攻撃を受ける脆弱性、JPCERT/CCが注意(ITpro)

 影響を受けるのはApache 1.3と2のすべてのバージョンだから、ほとんどのWebサーバーが脆弱性を持っていることになる。Apacheが公開した更新版は Apache 2.2.20となる。セキュリティ対策のためとはいえ、特にApache 1.3系に対応したWebアプリケーションなどは、アップデートすると動作しなくなるものも存在するのではないだろうか。PHPやらMySQLなどのバージョンとの整合性も、微妙なところである。


 今年は悪意を持った攻撃が増加しただけに、Apacheのような汎用的なソフトウェアの脆弱性は格好の攻撃の足がかりとされそうである。それだけに、Web管理者やネット管理者は頭の痛いところだろう。Webサーバーだけに、使わずに済ますというわけにはいかないからである。