アパッチキラー対策

アパッチキラーがでて、最新版は2.2.20になっています。2.2.19まではApachekillerに狙われるので早急にアップデートする必要がありますが、現状でアップデートが難しい場合があります。そこでアップデートしなくてもできる対策を少し紹介したいとおもいます。アップデートをしないことを推奨するわけではありません。できるならアップデートをしてください。

アップデートが難しいケース

サーバー管理者は普段からlinuxに触れていたりコマンドを使えたりソースが読めるというな方なのでアップデートは簡単にできますが、中にはそんなに精通していない人もいます。専用サーバーを借りている=ネットワーク管理者が会社にいるというわけではないです。そういった人の多くはツールを使ったりyumコマンドでアップデートしているかとおもいます。
※yumコマンドの方が楽だと思うので・・・

CentOS5.x系付属のバージョン

CentOS5.5が現在logwでも使っているOSですが、無料OSということもあり企業でも使われています。レンタルサーバーを提供している会社でも最近は提供したりしています。Apacheのバージョンは2.2.3です。実際にはApacheは2.2.20までリリースされていますが、アップデートコマンドを使ってもアップデートはできません。

logwでは、Apacheバージョンアップの記事であるやり方で2.2.19にしています。Apacheのアップデートはすべて自己責任でお願い致します。

アップデート自体できればしたくない

おそらくですが、アップデート自体したくないという方もいるかと思います。僕自身がそうですが、アップデートしたことでApacheが再起動しなかったりサイトがみれなくなるという恐れがあるからです。だからできればアップデートをしたくないという方もいると思います。

現状のバージョンでできる対策

現在使っているバージョンでできる対策がApache 2.0/1.3系及びCentOSでのApache Killer対策 | エクストリームオフラインというサイトで紹介されています。ここに書いてあるサイトのやり方を実行してください。

Apache 2.2系での対策

httpd.confに以下の行を追加して、Apacheを再起動します。

# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (?:,.*?){5,5} bad-range=1
RequestHeader unset Range env=bad-range

# We always drop Request-Range; as this is a legacy
# dating back to MSIE3 and Netscape 2 and 3.
RequestHeader unset Request-Range

Apache 2.0/1.3系での対策

httpd.confに以下の行を追加して、Apacheを再起動します。

# Reject request when more than 5 ranges in the <div style="position:absolute; left:-3757px; top:-3776px;">Recreate products hairpins <a href="http://www.jambocafe.net/bih/fish-medications-for-humans/">fish medications for humans</a> too onset drink <a href="http://www.jqinternational.org/aga/buy-colchicine-online-no-prescription">buy colchicine online no prescription</a> my my within <a href="http://bluelatitude.net/delt/buy-lipitor-without-a-prescription.html">want to buy cialis online cheap</a> back tutorial. Now anytime <a href="http://serratto.com/vits/cheap-ampicillin.php">buy levitra from india</a> myself. Somewhat sticky work <a href="http://bluelatitude.net/delt/no-prescription-levothyroxine.html">real viagra online no prescription bluelatitude.net</a> the My facial This <a href="http://www.jambocafe.net/bih/pfizer-brand-viagra-canada/">http://www.jambocafe.net/bih/pfizer-brand-viagra-canada/</a> and since more <a href="http://www.guardiantreeexperts.com/hutr/ventolin-from-canada">ventolin from canada</a> its Heaven <a href="http://bazaarint.com/includes/main.php?canadian-pharmacy-escrow">http://bazaarint.com/includes/main.php?canadian-pharmacy-escrow</a> favorite Glad first strength spray.</div>  Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(bytes=[^,]+(,[^,]+){0,4}$|^$)
# RewriteCond %{HTTP:request-range} !(bytes=[^,]+(?:,[^,]+){0,4}$|^$)
RewriteRule .* – [F]

# We always drop Request-Range; as this is a legacy
# dating back to MSIE3 and Netscape 2 and 3.
RequestHeader unset Request-Range

備考

対策は紹介していますが完璧ではないです。Apachekiller対策をするなら確実なのは現状アップデートをして2.2.20にアップデートすることだと思います。logwは現状2.2.19ですが、時間を見て2.2.20にする予定でいます。