ソフトウェアの惰弱性
Apache
WWWサーバのシェア第1位であるApacheは、過去に何度も攻撃を受けています。その度にバージョンアップしてセキュリティー対策を行ってきました。ホームページを公開閲覧してもらうサービスを提供しているので外部からのリクエストを待ち受ける80番ポートを開けますから、攻撃のターゲットとなるのは宿命であり、これを監視するのがサーバ管理者の勤めです。
2011年8月にApache HTTP Server がDOS(Denial of Service)攻撃を受ける危険性があるという報告がありました。Dos攻撃とはサーバの負荷を大きくしシステムのリソースを大量に消費させサービスを提供不能にするという攻撃です。クラッカーはRangeヘッダー情報に仕掛けをしてHTTPリクエストを送りつけるという、Rangeヘッダーの脆弱性を狙ったものです。
この脆弱性を修正したApache2.2.20が公開されていますので、Apacheサーバの運用管理者はバーションアップすることを薦めます。一時的な回避策としてはRangeヘッダー使用を禁止する方法があります。攻撃の検証から一部のバージョンではサーバの操作そのものが不能になり、攻撃が停止した後も回復しなかったサーバがあります。
Apacheへの攻撃は今後もいたちごっこが続くと思われ、これはサービスを提供する限り監視を怠らず、常に必要なパッチを当て、必要なバージョンアップをしていかなければなりません。サーバ管理者は何事もない平和な時は楽な仕事ですが、有事には休日であろうが、深夜であろうが、緊急を要する場合は対応しなければなりません。