Apache HTTPD (Webサーバ) 2.2.19 以前に重大な欠陥が発見されました。外部から大きな負荷をかけ、Web ページを参照できなくする攻撃 (DoS 攻撃) を受ける恐れがあります。攻撃プログラムも公開されており、誰でも実行できる状態です。
- Apache HTTPD Security ADVISORY UPDATE 3 - FINAL: Range header DoS vulnerability Apache HTTPD prior to 2.2.20 (apache.org)
Apache HTTPD 2.2.20 以降で修正されています。最新版は 2.2.21 です。また 2.2.19 以前、および 2.0.x 用の patch が用意されています。ソースコードから build する場合に利用できます。
Apache 1.3.x にはこの欠陥は無いとされています。
Linux 上で、各ディストリビューションに付属する Apache HTTPD パッケージを利用している場合は、各ディストリビューションが提供する更新版を適用して下さい。
- Red Hat Enterprise Linux: RHSA-2011:1245-1
- Debian GNU/Linux: DSA-2298-2 apache2
- ubuntu Linux: USN-1199-1
- Vine Linux: 6.0 用、5.2 用
- Scientific Linux: httpd
- CentOS: CentOS 4 は httpd-2.0.52-48.ent.centos4 (i386, x86_64) に、CentOS 5 は httpd-2.2.3-53.el5.centos.1 に更新して下さい。
更新できない場合は、Apache HTTPD Security ADVISORY UPDATE 3 に記載されている回避策を実施して下さい。