Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。 Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエスト
ストーリー by hylom 2009年06月23日 15時12分 Slowlorisはワシントン条約で保護されている小型のサルだそうで 部門より Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ(本家/.記事より) この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。 脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6.0、 IIS7.0、およびlighttpdでは確認されていないとのこと。 SA
Slowloris HTTP DoSというスクリプトが最近話題で、だれでもかんたんに、そんなに帯域も使わず、おもにapacheにDOSをかませます。 ためしに(自分のサーバに)かましてみたらカンタンでした。いにしえのSYN flood attackっぽい芸風な感じがします。 残念ながらapache系では、設定を追い込むとかのアプローチでは、なるべく被害を小さめにおさえるぐらいのことしかできないぽいです。猛烈ないたずら電話の被害に遭っているときに、かかってきたいたずら電話はなるべくすぐ切るようにしましょう! ぐらいの負け戦ですね。 リクエストをどう処理するかのツクリを狙われてる感じで、いまのapacheを使うかぎり対処はなかなか厳しいのですが、最近人気のロシアのnginxだと大丈夫みたいということで、組み合わせをためしてみました。 nginx (えんじん・えっくす) はwebサーバのソフトウ
あなたは自分の会社のウェブサイトをサービスするApacheをインストールしたところだとしよう。Apacheはスムーズに動作しており、万が一の場合にもLinuxのセーフティネットが助けになるはずだと思う。ところが、2週間ほど経ったところで、いろいろとおかしなことが起こり始める。なぜだろう。ApacheとLinuxを使っているのに・・・おかしくなることなどあるだろうか? もちろん、注意を払わなければ、おかしくなることはいくらでもあり得る。Apacheを安全にする方法はあるが、もちろん何もしなければ安全にはならない。以下に示すのは、Apacheをより安全なウェブサーバにするための簡単な10の方法だ。 #1: とにかくアップデート LinuxでApacheを動かしているからと言って、アップデートが不要だということにはならない。常に新しいセキュリティホールやリスクが登場している。あなたは、最新のパッ
第4回 Apacheセキュリティチェック、PCI DSSの場合 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2008/12/1 PCI DSSはペイメントカード業界だけではなく、セキュリティのチェックリストにも使える、というのがこの連載の趣旨でした。では、具体的にどのようにチェックを行っているのでしょうか。今回は身近な「Apache」を題材に、セキュリティ評価ベンダがなにをチェックしているのかを解説します(編集部) セキュリティ評価ベンダ(QSA)によるPCI DSSの訪問審査では、文書調査やインタビューのほかに、実際のOSやアプリケーションの設定を、画面上で目視確認することで、PCI DSSの要件に対応しているかどうかを調査します。今回は、QSAとして訪問審査を実施する際に確認するシステム上のポイントを、「QSAの視点」と称して、実際の
(Last Updated On: 2018年8月8日)http://www.0x000000.com/?i=567 にmod rewriteを利用した簡易WAF(Web Application Firewall)の定義例が掲載されています。同じようなアイデアをお持ちの方、既に似たような設定を使われている方も多いとは思います。 簡単なWAFですが、実用性も高いです。例えば、ヌル文字やHTML特殊文字のインジェクションは様々な攻撃で利用されます。アプリケーションで対処が忘れられがちなCOOOKIEやREFER、USER_AGENT等に特殊文字が入っていた場合にアクセスを拒否する部分だけもで導入する価値は十分にあると思います。 元ネタのサイトは英語ですが、解説付きです。 これを入れると問題となる場合もあるので、内容を理解してから利用しなければなりません。 RewriteEngine On Op
20 ways to Secure Apache Configuration Updated on June 25, 2024 By Pete Freitag Here are 20 things you can do to make your apache configuration more secure. Disclaimer: The thing about security is that there are no guarantees or absolutes. These suggestions should make your server a bit tighter, but don't think your server is necessarily secure after following these suggestions. Additionally some
mod_secutiryを使ってApacheでTrackback Spamを弾く MTのTrackback Spam対策にmod_securityを使って英数字のみのTrackbackを弾くようにしてみた。 mt-tb.cgiが動く前にApacheとかProxyとかでSPAMを判定できるとサーバに優しいし、かなり良いんじゃないかと思う。 mod_secutiryを # apxs -cia mod_security.c でインストールして、 <Files "mt-tb.cgi"> SecFilterEngine On SecFilterScanPOST On SecFilterDefaultAction "deny,log,status:406" SecFilterSelective POST_PAYLOAD "^[\x00-\x7F]+$" </Files> と設定。 フィルタリングされて
こんにちは、naoya です。 先日、ウノウが公開しているサービスの中にいくつかの脆弱性が見つかったため、社内で「脆弱性発見大会」を開催しました。この大会は、二人一チームに分かれてウノウが公開している各サービスの脆弱性を見つけることを目的とした大会です。結果は、いくつか各サービスに脆弱性が見つかり、すぐに修正することができました。 僕のチームは、ウノウのホームページやラボブログなど細かいサービスを担当しました。その中で、いくつかのウェブサーバにセキュリティ上あまい設定がありました。 今日は、ウェブサーバのセキュリティ向上のための設定方法についてエントリします。なお、ウェブサーバはApache 2.2系を前提としています。 サーバ情報の表示しない ウェブサーバ(Apache)で、404などのエラーページを表示したとき、ヘッダやページの下にApacheやOSのバージョンが表示されます。こういっ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く