「Apache Killer」対策を行った「Apache HTTP Server 2.2.20」公開

 Apache Software Foundation(ASF)のApache HTTP Server開発チームは8月31日、最新版となる「Apache HTTP Server 2.2.20」を公開した。先に警告したDoS攻撃の脆弱性を修正したセキュリティリリースで、全ユーザーにアップグレードを呼びかけている。

 プロジェクト開発チームは8月24日、Rangeヘッダーの処理に脆弱性があること、そしてこの脆弱性を悪用する「Apache Killer」攻撃コードが出回っているとして警告していた。単一のPCを使ってGETリクエストを送り、大量のメモリとCPUを消費させることができるという。この脆弱性が影響するのは、バージョン1.3、2.0、2.2。

 2.2.20はこの脆弱性を修正した。Apache 2.0 APIをベースとしており、2.0向けのモジュールはコードの変更はほとんど必要ないが、リコンパイルが必要となる。

 バージョン2.2.20はプロジェクトのWebサイトより入手できる。

Apache Software Foundation(ASF)
http://www.apache.org/