概要

2011年8月24日にApacheの脆弱性に関する発表がございました。この脆弱性が悪用され攻撃を受けることにより、FileBlogサーバー(Apacheがインストールされているサーバー)がシステムダウンする可能性があります。FileBlogサーバーがインターネットに公開されている場合には、は、3.1.5(2011/9月中旬リリース)にバージョンアップするか、以下の手順による対応を推奨致します。

脆弱性について

Apache"1.3系"及び"2系"の全バージョンにおいて、HTTPのリクエストヘッダ内に多数のRange指定を含むリクエストを送りつけられることで、メモリやCPUを消費させられる、という脆弱性が発見されました。

※参考
オープンソースソフトウェアプロジェクトで紹介されている詳細情報
http://sourceforge.jp/magazine/11/08/25/0351236

影響

本脆弱性を突いた攻撃を受けた場合、メモリの枯渇や多大なCPU負荷により「動作遅延」や「システムの停止」が発生する可能性がございます。

特にFileBlogを社外ネットワークに公開してご利用頂いている場合には、攻撃を受ける可能性がありますので対応をお願い致します。

対策

FileBlog 3.1.5.*(2011/9月中旬リリース) 以降のバージョンをお使いの場合

既に対策されています。そのままお使い下さい。

FileBlog 3.1.5.*(2011/9月中旬リリース) より古いバージョンをお使いの場合

FileBlog 3.1.5.*(2011/9月中旬リリース)以降にバージョンアップして頂くか、以下の手順により対応して下さい。

  1. Apacheの設定ファイル(httpd.conf)をテキストエディタで開きます。Version3.*以降の場合、$(FileBlogInstallFolder)\Apache\conf\httpd.confにあります。
  2. 以下の文字列を最終行に追加します。 
    # Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(bytes=[^,]+(,[^,]+){0,4}$|^$)
# RewriteCond %{HTTP:request-range} !(bytes=[^,]+(?:,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

# We always drop Request-Range; as this is a legacy
# dating back to MSIE3 and Netscape 2 and 3.
RequestHeader unset Request-Range
  3. #LoadModule headers_module modules/mod_headers.so となっている行を探し、以下のようにコメントアウトを外します。 
    LoadModule headers_module modules/mod_headers.so
  4. #LoadModule rewrite_module modules/mod_rewrite.so となっている行を探し、以下のようにコメントアウトを外します。 
    LoadModule headers_module modules/mod_rewrite.so
  5. 設定ファイル(httpd.conf)を保存して、Apacheサービスを再起動します。

※上記のhttpd.confの設定変更は、ApacheSecurityアドバイザリに従っています。

ご質問・ご相談はお気軽にお問い合わせください

資料請求
トライアル情報
お問い合わせはこちら
サポートカテゴリー
FileBlogサポート技術情報
2009年11月24日

アクセスログファイルの各行に、余計な文字列(INFO yyyy/mm/dd hh:MM:ss)が出力されてしまう不具合について

2010年10月18日

アクセス権のないファイルを隠す、Windows ABE