아파치 소프트웨어 재단은 아파치 오픈 소스 소프트웨어 프로젝트 커뮤니티 지원을 제공합니다.
아파치 프로젝트는 협업과 개발 프로세스를 기반으로 하는 상호간의 공감대와 개방되어 있는 실용적인 소프트웨어 라이센스, 그 분야에서 선두를 달릴 수 있는 고품질 소프트웨어 개발을 추구하고 있습니다.
우리는 심플한 서버 공유 프로젝트의 모임이라고도 하지만 오히려 개발자와 사용자간의 커뮤니티라고 생각합니다.
Apache HTTP Server 1.3는 여러분들이 도와주시고 힘써주신 덕분에 성공적으로 프로젝트를 진행해왔고, 그리고 이 땅의 대표 웹서버로서 발돋움하게 되었습니다.
감사합니다.
This Announcement notes the significant changes in 1.3.42 as compared to 1.3.41.
This version of Apache is is principally a bug and security fix release.
The following moderate security flaw has been addressed:
* CVE-2010-0010 (cve.mitre.org)
mod_proxy: Prevent chunk-size integer overflow on platforms
where sizeof(int) < sizeof(long). Reported by Adam Zabrocki.
Please see the CHANGES_1.3.42 file in this directory for a full list
of changes for this version.
Apache 1.3.42 is the final stable release of the Apache 1.3 family. We
strongly recommend that users of all earlier versions, including 1.3
family releases, upgrade to to the current 2.2 version as soon as possible.
For information about how to upgrade, please see the documentation:
Binaries distributed by the Apache HTTP Server Project are provided as a
courtesy by individual project contributors. The project makes no
commitment to release the Apache HTTP Server in binary form for any
particular platform, nor on any particular schedule.
IMPORTANT NOTE FOR APACHE USERS: Apache 1.3 was designed for Unix OS
variants. While the ports to non-Unix platforms (such as Win32, Netware or
OS2) will function for some applications, Apache 1.3 is not designed for
these platforms. Apache 2 was designed from the ground up for security,
stability, or performance issues across all modern operating systems.
Users of any non-Unix ports are strongly cautioned to move to Apache 2.
The Apache project no longer distributes non-Unix platform binaries from
the main download pages for Apache 1.3. If absolutely necessary, a binary
may be available at http://archive.apache.org/dist/httpd/.
Apache 1.3.42 Major changes
Security vulnerabilities
The main security vulnerabilities addressed in 1.3.42 are:
*) SECURITY: CVE-2010-0010 (cve.mitre.org)
mod_proxy: Prevent chunk-size integer overflow on platforms
where sizeof(int) < sizeof(long). Reported by Adam Zabrocki.
Bugfixes addressed in 1.3.42 are:
*) Protect logresolve from mismanaged DNS records that return
blank/null hostnames.
The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 2.3.5-alpha of the Apache HTTP Server ("Apache"). This version of Apache is principally an alpha release to test new technology and features that are incompatible or too large for the stable 2.2.x branch. This alpha release should not be presumed to be compatible with binaries built against any prior or future version.
Apache HTTP Server 2.3.5-alpha is available for download from:
Apache 2.3 offers numerous enhancements, improvements, and performance boosts over the 2.2 codebase. For an overview of new features introduced since 2.3 please see:
Please see the CHANGES_2.3 file, linked from the download page, for a full list of changes.
This release includes the Apache Portable Runtime (APR) version 1.4.2 and APR-Util version 1.3.9 in a separate -deps tarball. The APR libraries must be upgraded for all features of httpd to operate correctly.
This release builds on and extends the Apache 2.2 API. Modules written for Apache 2.2 will need to be recompiled in order to run with Apache 2.3, and require minimal or no source code changes.
The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 2.2.14 of the Apache HTTP Server ("Apache"). This version of Apache is principally a security and bug fix release. Notably, this version bundles the APR Library version 1.3.9, which addresses a security concern with the Prefork and Event MPMs on Solaris 10.
We consider this release to be the best version of Apache available, and encourage users of all prior versions to upgrade.
Apache HTTP Server 2.2.14 is available for download from:
Apache 2.2 offers numerous enhancements, improvements, and performance boosts over the 2.0 codebase. For an overview of new features introduced since 2.0 please see:
Please see the CHANGES_2.2 file, linked from the download page, for a full list of changes. A condensed list, CHANGES_2.2.14 provides the complete list of changes since 2.2.14. A summary of security vulnerabilities which were addressed in the previous 2.2.13 and earlier releases is available:
Apache HTTP Server 1.3.41 and 2.0.63 legacy releases are also currently available. See the appropriate CHANGES from the url above.
See the corresponding CHANGES files linked from the download page.
The Apache HTTP Project developers strongly encourage all users tomigrate to Apache 2.2, as only limited maintenance is performed on these legacy versions.
This release includes the Apache Portable Runtime (APR) version 1.3.9 bundled with the tar and zip distributions. The APR libraries libapr and libaprutil (and on Win32, libapriconv) must all be updated to ensure binary compatibility and address many known security and platform bugs.
This release builds on and extends the Apache 2.0 API. Modules written for Apache 2.0 will need to be recompiled in order to run with Apache 2.2, and require minimal or no source code changes.
When upgrading or installing this version of Apache, please bear in mind that if you intend to use Apache with one of the threaded MPMs (other than the Prefork MPM), you must ensure that any modules you will be using (and the libraries they depend on) are thread-safe.
The Apache Software Foundation and the Apache HTTP Server Project are
pleased to announce the release of version 2.2.13 of the Apache HTTP
Server ("Apache"). This version of Apache is principally a security
and bug fix release. Notably, this version bundles the APR Library
version 1.3.8 and APR Utility Library version 1.3.9, which address
a security concern which may be triggered by some third party modules.
We consider this release to be the best version of Apache available, and
encourage users of all prior versions to upgrade.
Apache HTTP Server 2.2.13 is available for download from:
Apache 2.2 offers numerous enhancements, improvements, and performance
boosts over the 2.0 codebase. For an overview of new features
introduced since 2.0 please see:
Please see the CHANGES_2.2 file, linked from the download page, for a
full list of changes. A condensed list, CHANGES_2.2.13 provides the
complete list of changes since 2.2.12. A summary of security
vulnerabilities which were addressed in the previous 2.2.12 and earlier
releases is available:
Apache HTTP Server 1.3.41 and 2.0.63 legacy releases are also currently
available. See the appropriate CHANGES from the url above. See the
corresponding CHANGES files linked from the download page. The Apache
HTTP Project developers strongly encourage all users to migrate to
Apache 2.2, as only limited maintenance is performed on these legacy
versions.
This release includes the Apache Portable Runtime (APR) version 1.3.8
bundled with the tar and zip distributions. The APR libraries libapr
and libaprutil (and on Win32, libapriconv) must all be updated to ensure
binary compatibility and address many known security and platform bugs.
This release builds on and extends the Apache 2.0 API. Modules written
for Apache 2.0 will need to be recompiled in order to run with Apache
2.2, and require minimal or no source code changes.
When upgrading or installing this version of Apache, please bear in mind
that if you intend to use Apache with one of the threaded MPMs (other
than the Prefork MPM), you must ensure that any modules you will be
using (and the libraries they depend on) are thread-safe.
개요
최근 인터넷에 HTTP 프로토콜에 불안전한 요청을 통해 웹 서비스가 서비스 거부(DoS)에 빠지는 공격도구가 공개되었다. 해당 도구를 이용한 공격방식은 과거에도 사용된 적이 있으며, 최근 이를 이용한 도구가 공개되며 악의적으로 이용될 가능성이 높아 사용자들의 주의가 요구된다.
영향
공격자는 해당 도구를 이용하여 대상 시스템의 웹 서버에 서비스 거부 공격을 수행할 수 있다. 이로 인해 정상적인 웹 서비스 운영을 방해한다.
설명
이번 공격은 특정 소프트웨어의 취약점이 아니다. HTTP 프로토콜의 구조적인 부분을 이용한 공격으로서, 공격자가 웹 서버에 접속 요청을 할 때 연결을 해지하지 않고 지속적으로 같은 요청을 반복해 연결세션을 생성한다. 웹 서버에서 정의된 한계만큼 세션이 접속되어 사용자는 더 이상 접속을 수행할 수 없게 된다. 예를 들면 공격자는 아래와 같은 정상적인 HTTP 요청을 수행한다.
GET / HTTP/1.1\r\n
Host: host\r\n
User-Agent: Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 5.1; Trident/4.0;)\r\n
Content-Length: 42\r\n
이때 서버는 연결을 오픈하고 기다리지만 공격자는 연결을 계속 유지하기 위해 임의의 추가적인 헤더를 보내 연결을 해지하지 않는다. 이와같은 요청이 계속될 경우, 연결은 급격하게 증가하게 되어 서비스 거부 상태가 된다. 이 같은 방법은 오래전부터 알려져 있던 공격방법중의 하나였으나, 최근 아파치 DoS 공격도구라는 이름으로 공개되어 이의 악의적 사용이 우려된다.
이 공격의 특징은 대량의 트래픽을 전달하지 않는다는 점이다. 일반적인 공격에 이용되는 DoS방법은 대량의 트래픽을 전달하여 라우터 및 전체 네트워크까지 영향을 미치지만, 이 공격은 아주 적은 트래픽으로도 HTTP서버에 서비스 거부 상태를 만들 수 있다. 그러므로, 트래픽이 크게 증가하지 않더라도 이 공격에 예의주시하여야 한다.
현재까지는 이 공격이 와일드하게 이뤄지고 있다는 증거는 발견되지 않고 있다.
차단정보 이 공격은 취약점을 이용한 것이 아니라 HTTP의 구조형식에 의한 것이므로, 차단은 제한적이다.
다만, 트러스가드(TrusGuard)는 해당 공격도구의 패턴 차단을 제공하고 있다.
해결책
이 공격의 피해를 최소화하기 위해서는 다음과 같은 방법을 고려할 수 있다. 단, 여기의 모든 방법들은 동일한 해결책이 될 수 없다. 현재 운영하고 있는 웹 서버의 구성과 네트워크 상황에 따라 달라지므로, 위협을 최소화할 수 있는 방안을 논의하여 적용할 것을 권고한다. 잘못된 적용은 웹 서버의 운영에 큰 문제를 야기할 수 있다.
웹 서버의 Timeout을 낮게 설정해 HTTP 요청 후 연결이 빨리 끊어지도록 할 수 있다. 기본적으로 아파치 웹 서버는 300초의 Timeout을 가지고 있다.
IPTable 등과 같은 방화벽을 통해 동시접속을 제한한다. 또는 로드밸런스 등이 영향을 최소화할 수 있다.