Apache HTTPD 1.3/2.x の Range ヘッダーの DoS 脆弱性について

Apache HTTPD の 1.3/2.x の Range ヘッダーの処理に DoS 攻撃の原因となる脆弱性が発見されました。
パッチがリリースされるまでのとりあえずの対策が公開されています。 

1) Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)

2) Apache HTTPD Security Advisory UPDATE 2

 

この脆弱性につきましては、既に一般に被害が出ているようですので、対応を強くお勧め致します。

Red Hat Network についてはパッチ Errata RHSA-2011:1245  (11/08/31) がリリースされましたので、
必ず、適用してください。 適用時には、以下の点にご注意ください :

※ ClassCat Cute では、suExec 機能は使用していませんので、無効にされています。
httpd パッケージのアップデートにより /usr/sbin/suexec がインストールされた場合には、削除するか、ファイル名を変更することにより、必ず、無効にしてください。
   
※ httpd を更新した場合は、(suexec を無効にした上で、) httpd だけではなく admserv も再起動してください。また、/etc/httpd/conf/*, /etc/httpd/conf.d/* のバックアップをおすすめ致します。

CentOS 5x についてもパッチがリリースされました。[2011/09/15]

CentOS 6 のパッチについては CR レポジトリを利用してください。[2011/10/15]

参考まで、上記の 2) を参考にした対応方法を記述しておきます。
例えば、以下の記述を /etc/httpd/conf/httpd.conf に追加するのが無難です。
追加する箇所は最下部の vhosts を include する箇所を回避して、それより上であればどこでもかまいません :

# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (?:,.*?){5,5} bad-range=1
RequestHeader unset Range env=bad-range

# We always drop Request-Range; as this is a legacy
# dating back to MSIE3 and Netscape 2 and 3.
RequestHeader unset Request-Range

# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range
CustomLog logs/range-CVE-2011-3192.log common env=bad-req-range

※ 必ず、バックアップを取った上で、追加変更を実行してください。

９月以降に発生する不具合について

2010 年 9 月以降に発生する以下の不具合が見つかっています。
これらの不具合は 2038 年問題に由来し、操作日時に依存しているため、比較的最近になり見つかった問題です :

(1) 新規に ClassCat Cute Server Manager をインストールした場合、管理側 Web サーバが起動しない。
    起動時、以下のようなエラーが出力されます ：
          Starting admin web server:
          Syntax error on line 126 of /etc/admserv/conf.d/ssl.conf:
          SSLCertificateFile: file '/etc/admserv/certs/certificate' does not exist or is empty
(2) 動作中の ClassCat Cute Server Manager の管理画面から、ホスト名・ドメインネームを変更した場合、エラーが発生する。

現在、パッチを配布中です。
● 2010/09/27 以降の Cute-EE v5 の新規の出荷につきましてはパッチを同梱しています。
● また、弊社プロダクト・サポートまで電子メールでご連絡いただければ、パッチをお送り致します。

※ 必ず、製品シリアル番号を記載してください。
※ 新規インストールや該当する操作を行わない場合はそのままご利用いただいて問題ありません。
※ Cute-EE v6 ではこの問題は修正されています。

(株)クラスキャット
プロダクト・サポート

ClassCat Cute の RHEL 5.5 / CentOS 5.5 上のインストールについて

ClassCat Cute® Server Manager EE v5.0 RC 0x04 は、Red Hat Enterprise Linux 5.4 に対応しています。

RHEL 5.5 が既にリリースされていますが現時点では未対応ですので、RHEL 5.5 上の ClassCat Cute のインストールは回避してください。

RHEL 5.5 については、ClassCat Cute Server Manager EE v5.0 RC 0x05 で対応予定です。

※ RHEL 5.5 対応版 ClassCat Cute Server Manager EE v5.0 RC 0x05 は、07/12/2010 より配布開始しております。

※ CentOS 対応版についても同様です。

(株)クラスキャット

プロダクト・サポート

(弊社製品の問題ではありませんが、)
SpamAssassin の FH_DATE_PAST_20XX ルールについて重要なバグが判明していますのでお知らせしておきます :

https://issues.apache.org/SpamAssassin/show_bug.cgi?id=6269

sa-update によりルールを更新するか、
/usr/share/spamassassin/72_active.cf 内の該当ルールをコメントアウトしてください。

* いずれの場合も、spamassassin デーモンの再起動が必要になります :

    # /etc/init.d/spamassassin restart