8月末頃、Apacheの脆弱性をつくApache Killerが話題になりました。
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定 – SourceForge.JP Magazine : オープンソースの話題満載
8月31日には、その脆弱性の対応版、バージョン2.2.20がリリースされました。
「Apache Killer」対策を行った「Apache HTTP Server 2.2.20」公開 – SourceForge.JP Magazine : オープンソースの話題満載
ただ、2011年9月6日時点では、Amazon EC2のAmazon Linux AMIのパッケージはアップデートされていませんでした。
AWS Developer Forums: Amazon Linuxのapacheセキュリティパッチ対応について …
Amazon Linux AMIとは、Amazon Management Consoleで「Launch Instance」する際に表示される、AWS版のLinuxイメージです。
本日(2011年9月7日)チェックしてみたところ、
Loaded plugins: fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
Skipping security plugin, no data
httpd.i686 2.2.20-1.16.amzn1 amzn-updates
Obsoleting Packages
PyYAML.i686 3.09-5.5.amzn1 amzn-updates
python-yaml.noarch 3.05-1.rf.8.amzn1 installed
レポジトリからのアップデートが可能になっているようです。
早速、アップデートします。
Loaded plugins: fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
amzn-main | 2.1 kB 00:00
amzn-updates | 2.1 kB 00:00
Skipping security plugin, no data
Setting up Update Process
Resolving Dependencies
Skipping security plugin, no data
–> Running transaction check
—> Package httpd.i686 0:2.2.20-1.16.amzn1 set to be updated
–> Processing Dependency: httpd-tools = 2.2.20-1.16.amzn1 for package: httpd-2.2.20-1.16.amzn1.i686
–> Running transaction check
—> Package httpd-tools.i686 0:2.2.20-1.16.amzn1 set to be updated
–> Finished Dependency Resolution
Dependencies Resolved
========================================================================================================================
Package Arch Version Repository Size
========================================================================================================================
Updating:
httpd i686 2.2.20-1.16.amzn1 amzn-updates 1.1 M
Updating for dependencies:
httpd-tools i686 2.2.20-1.16.amzn1 amzn-updates 75 k
Transaction Summary
========================================================================================================================
Install 0 Package(s)
Upgrade 2 Package(s)
Total download size: 1.2 M
Is this ok [y/N]: y
Downloading Packages:
(1/2): httpd-2.2.20-1.16.amzn1.i686.rpm | 1.1 MB 00:00
(2/2): httpd-tools-2.2.20-1.16.amzn1.i686.rpm | 75 kB 00:00
————————————————————————————————————————
Total 4.5 MB/s | 1.2 MB 00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : httpd-tools-2.2.20-1.16.amzn1.i686 1/4
Updating : httpd-2.2.20-1.16.amzn1.i686 2/4
warning: /etc/httpd/conf/httpd.conf created as /etc/httpd/conf/httpd.conf.rpmnew
Cleanup : httpd-2.2.16-1.11.amzn1.i686 3/4
Cleanup : httpd-tools-2.2.16-1.11.amzn1.i686 4/4
Updated:
httpd.i686 0:2.2.20-1.16.amzn1
Dependency Updated:
httpd-tools.i686 0:2.2.20-1.16.amzn1
Complete!
再起動してバージョンを確認してみると、
Server version: Apache/2.2.20 (Unix)
Server built: Sep 1 2011 22:37:39
最新版にアップデートされました。
お早めのアップデートをお勧めします。
すぐにアップデートできない場合には、httpd.confに以下の追記をして暫定対応しましょう。
# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (?:,.*?){5,5} bad-range=1
RequestHeader unset Range env=bad-range
# We always drop Request-Range; as this is a legacy
# dating back to MSIE3 and Netscape 2 and 3.
RequestHeader unset Request-Range
# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range
CustomLog logs/range-CVE-2011-3192.log common env=bad-req-range
参考サイト:徳丸浩の日記: Apache killerは危険~Apache killerを評価する上での注意~
※ Apache killerとその脆弱性については、こちらのサイトが非常に参考になります。