The Apache Software Foundation provides support for the Apache community of open-source software projects. |
2011年8月末、「Full Disclosure」にApache HTTPサーバをリモートから攻撃してクラッシュさせるコードが公開された。このコードはとてもシンプルなもので、脆弱性も誰でも利用できるような簡単な仕組みだった。Apache HTTPサーバのシェアが65%を超えること、「1.3系」「2.0系」「2.2系」が影響を受けるなど、この問題の影響を受ける範囲はきわめて広い状況にあった。この脆弱性は通称「Apache Killer」と呼ばれている。
Apache HTTPサーバプロジェクトはこの問題を認識し、迅速に対応を実施。「Apache Killer」の脆弱性に対処したバージョン「Apache HTTP Server 2.2.20」の提供を開始した。新版は、採用するのにベストなバージョンだとされており、すべてのApache HTTPユーザへ同バージョンへのバージョンアップ推奨されている。
「Apache HTTP Server 2.2.20」ではバイトレンジリクエストの処理が変更されている。このバージョンからは、リクエストにおけるレンジサイズの総合値がオリジナルファイルのサイズを超えている場合には、レンジ要求を無視してファイルを送信するようになる。
Apache HTTPサーバのようなソフトウェアは、運用をスタートするとなかなかアップデートしないケースが多い。しかしながら、「Apache Killer」の脆弱性は簡単にシステムを不安定にし、Apache HTTPサーバのクラッシュが可能。管理者や運用者には迅速な対応が求められる。