このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。 今回は、ミドルウェアのバグに基づくサービス妨害攻撃（Denial of Service; DOS）を受けやすい脆弱性について解説をしています。

概要

サービス妨害（DoS）攻撃という手法があります。細工を施したリクエストや大量のリクエストをサーバに送信することにより、サーバの動作を遅くしたり、場合によってはサーバーを停止させる攻撃のことです。DoS攻撃では情報の漏洩やデータの改ざんは通常起こりませんが、サーバ停止の状況によっては、ファイルの一部が破損する場合はあり得ます。

DoS攻撃としてよく用いられる手法にはネットワークの問題を悪用したものが多いのですが、それ以外にミドルウェアやアプリケーションの不具合を悪用する方法もあります。その一例として、Apacheの不具合を悪用したApache Killer(CVE-2011-3192)やPHPやJava等の言語システムの不具合を悪用したhashdos（CVE-2011-4885等）があります。

攻撃のイメージと影響

以下はApache Killerの送信するHTTPリクエストです。一部を割愛しています。Rangeヘッダに攻撃の特徴があります。 上記リクエストを脆弱性のあるApacheが受け取ると、CPU使用量、メモリ使用量の両方が肥大化し、メモリ不足とCPU能力の枯渇がおきます。特に、メモリ不足により、Linux OSにおいてはOOM Killerという仕組みが動き、メモリ使用量の多いプロセスを停止していきます。OOM Killerはプロセスの重要度を考慮しないので、データベースサーバ等サービス提供に不可欠なプロセスまで停止させられ、ウェブサーバーは機能停止に陥ってしまいます。 以下はPHPに対するhashdos攻撃のリクエスト例です。 このリクエストをPHPが受け付けると、パラメータを内部の連想配列（ハッシュと呼ばれます）に格納する処理に異常に時間がかかり、その間新規リクエストを受けつられなくなります。ただし、Apache Killerと異なりメモリが枯渇するわけではないので、攻撃が終了すると直ちにサーバは回復します。

脆弱性による影響

DoS攻撃による影響の例としては以下があります。

• サーバー速度の遅延
• 新規リクエスト受付の停止
• サーバーの異常終了

脆弱性の有無の確認方法

脆弱性診断サービスが利用できない場合は、ApacheやPHP等のバージョンが対策済みかを確認して下さい

• Apache Killer の影響を受けるバージョン 2.2.0 ～ 2.2.20
• Hashdosの影響を受けるもの
• ASP.NET MS11-100 未適用のもの
• Tomcat 5.5.34およびそれ以前、6.0.34およびそれ以前、7.0.22およびそれ以前
• Ruby 1.8.7-p352およびそれ以前
• PHP 5.3.8およびそれ以前

対策

対象ソフトウェアの対策バージョンへのバージョンアップあるいはパッチ適用を行います。

Apache Killerおよびhashdosには、それぞれ緩和策があります。なんらかの理由でパッチ適用等ができない場合、緩和策を実施することで、攻撃を受けた場合の被害を軽減できます詳しくは参考文献を参照ください。

なお、デジサートの「クラウド型WAF」では、Apache Killerやhashdos等の脆弱性からウェブサイトが攻撃を受けるのを防ぐことができます。

参考文献

独立行政法人情報処理推進機構（IPA）の注意喚起 https://www.ipa.go.jp/security/ciadr/vul/20110831-apache.html https://www.ipa.go.jp/security/ciadr/vul/20120106-web.html

Apache公式サイトのアドバイザリ（英語）

http://httpd.apache.org/security/CVE-2011-3192.txt

修正の上再掲しました。