2011/8/26 (金) 公開
2011/9/6(火) 最終更新
平素は弊社サービスをご利用いただきましてありがとうございます。
このたび、Web サーバソフトウェアの Apache に、リモートからサービス運用妨害 (DoS) 攻撃を受ける脆弱性が公表され「Apache killer」などの攻撃ツールの公開も確認しております。本問題の概要と弊社における対応について、以下の通りご案内いたします。
ご不明な点等ございましたら、弊社テクニカルサポートまでお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。
Apache には、リモートからサービス運用妨害 (DoS) 攻撃を受ける脆弱性があります。
Apache 2.x 系では実装上の不具合により、攻撃者が脆弱な Web サーバに対して細工をしたリクエストを送信することにより、
Apache サーバが使用するメモリ、CPUを大量に消費させるというものです。
この脆弱性には、CVE 識別番号として CVE-2011-3192 が割り当てられています。
詳細に関しましては、以下のページの情報をご参照ください。
OS のディストリビュータである Red Hat 社・CentOS Projectより、本脆弱性を修正したパッケージが提供されましたので、httpd パッケージの更新をお勧めいたします。
なお、CentOS5 につきましては現時点でパッケージが提供されておりませんので、更新パッケージが提供され次第、対応させていただきます。
本脆弱性は、弊社「サーバソフトウェアの管理ポリシー」の基準では、弊社でのアップデート対象とはならない脆弱性ではございます。しかしながら、ウェブサーバへの影響を鑑み、本脆弱性については、アップデート方法がわからないお客様を対象に、弊社にてアップデート作業を無償で代行させていただきます。
お客様にてアップデートを行われる場合には、修正済みパッケージを
ダウンロードして、更新していただけます。具体的な手順につきましては、
以下のページをご参照ください。
アップデート方法がわからないお客様を対象に、弊社にてアップデート作業を無償で代行いたします。
弊社による Apache のアップデート代行を希望されるお客様は、以下のオンラインフォームに必要事項をご記入ください。
(サーバのIPアドレス等の間違いを防ぐため、メールやお電話によるお申し込みは受け付けることが
出来ませんので、必ずフォームにてご依頼ください。)
受付対象OS: (CentOS5は修正パッケージが公開され次第、対応いたします)
※ご依頼やお問い合わせは support@clara.ne.jp までご連絡いただきますようお願い申し上げます。
※作業時間は原則として弊社営業時間内 (平日10時~18時) とさせていただいております。 作業日・作業時間のご指定はいただけませんので、あらかじめご了承ください。なお、 Apache HTTP サーバのアップデート作業の際には、Apache HTTP サーバの再起動が発生いたします。数秒程度、ウェブサイトにアクセスできない場合がございます。あらかじめご了承ください。
サーバ上の Apache HTTP サーバパッケージが脆弱性対応済みのバージョンとなっているかを 確認するには、以下の各 OS 毎のパッケージのバージョン情報をご参照ください。
| Red Hat Enterprise Linux 4 | httpd-2.0.52-48.ent 以降 |
| Red Hat Enterprise Linux 5 | httpd-2.2.3-53.el5_7.1 以降 |
| Red Hat Enterprise Linux 6 | httpd-2.2.15-9.el6_1.2 以降 |
| CentOS4 | httpd-2.0.52-48.ent.centos4 以降 |
| CentOS5 | httpd-2.2.3-53.el5.centos 以降 |