質問
お疲れ様です。
やっかいな問題ですよね。
そろそろパッチ組み込み版がリリースされるのかなと待っているのですがいまのところ、まだその動きはなさそうですね。
弊社では、IPS側での対応でとりあえずと考えていますが、一部IPSをを通らない公開系の回線分があり、こちらは、RangeHeaderサイズの制限で回避しています。
詳細設定はご存じかと思いますが、わかりやすいページがありましたのでご紹介しておきます。
本当に厄介ですね。
さきほど、JPCERTから注意喚起が出されました。
しばらく忙しくなるかもしれませんね。
質問
お世話になっております。
apacheの脆弱性をついたDDoS攻撃ツール「Apache Killer」が出回っていると
先日発表されましたが、みなさんはどのように対応されていますか?
暫定的な回避策として以下の4項目がApache提供元より紹介されていますが、
これらの策を講じる前に検討すべきポイント等がありましたら
ご教示いただけますでしょうか。
<回避策>
1.SetEnvIfもしくはmodrewriteを使用し、リクエストに多数のRange
指定があった場合はそれを無視する
2.リクエストフィールドのサイズ制限を小さめに設定し、長いRange
ヘッダを受け付けないようにする
3.modheadersを利用してRangeヘッダサポートを無効にする
4.Rangeヘッダーカウントモジュールを適用する
以上、よろしくお願いします。