NVD脆弱性詳細
Exploit、PoC検索
CVE-2011-3192
概要

The byterange filter in the Apache HTTP Server 1.3.x, 2.0.x through 2.0.64, and 2.2.x through 2.2.19 allows remote attackers to cause a denial of service (memory and CPU consumption) via a Range header that expresses multiple overlapping ranges, as exploited in the wild in August 2011, a different vulnerability than CVE-2007-0086.

公表日 2011年8月30日0:55
登録日 2021年1月28日16:39
最終更新日 2024年11月21日10:29
CVSS2.0 : HIGH
スコア 7.8
ベクター AV:N/AC:L/Au:N/C:N/I:N/A:C
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C) なし
完全性への影響(I) なし
可用性への影響(A)
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:* 2.2.0 2.2.20
cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:* 2.0.35 2.0.65
構成2 以上 以下 より上 未満
cpe:2.3:o:suse:linux_enterprise_server:11:sp1:*:*:*:vmware:*:*
cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:11.3:*:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_software_development_kit:10:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_software_development_kit:10:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:11:sp1:*:*:*:-:*:*
cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:-:*:*:*
cpe:2.3:o:suse:linux_enterprise_software_development_kit:11:sp1:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:10:sp2:*:*:-:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:10:sp3:*:*:-:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:o:canonical:ubuntu_linux:10.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:8.04:*:*:*:-:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:*
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性
タイトル Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性
概要

Apache HTTPD サーバには、サービス運用妨害 (DoS) の脆弱性が存在します。 Apache HTTPD サーバには、Range ヘッダおよび Request-Range ヘッダの処理に問題があり、サービス運用妨害 (DoS) の脆弱性が存在します。 本脆弱性を使用した攻撃が観測されています。 また、"Apache Killer" と呼ばれる攻撃ツールが公開されています。 Apache のアドバイザリには、以下のように記載されています。 "Background and the 2007 report There are two aspects to this vulnerability. One is new, is Apache specific; and resolved with this server side fix. The other issue is fundamentally a protocol design issue dating back to 2007: http://seclists.org/bugtraq/2007/Jan/83 The contemporary interpretation of the HTTP protocol (currently) requires a server to return multiple (overlapping) ranges; in the order requested. This means that one can request a very large range (e.g. from byte 0- to the end) 100's of times in a single request. Being able to do so is an issue for (probably all) webservers and currently subject of an IETF discussion to change the protocol: http://trac.tools.ietf.org/wg/httpbis/trac/ticket/311 This advisory details a problem with how Apache httpd and its so called internal 'bucket brigades' deal with serving such "valid" request. The problem is that currently such requests internally explode into 100's of large fetches, all of which are kept in memory in an inefficient way. This is being addressed in two ways. By making things more efficient. And by weeding out or simplifying requests deemed too unwieldy."

想定される影響 遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。 
対策

[アップデートする] Apache HTTPD 2.2 のユーザは、開発者の提供する情報をもとに、最新版にアップデートしてください。 なお、開発者によると、本脆弱性に対応した Apache HTTPD 2.0 のパッチを提供する予定とのことです。 Apache HTTPD 1.3 系は非推奨のためパッチは提供されず、以下ワークアラウンドの実施が推奨されています。 [ワークアラウンドを実施する] Apache のアドバイザリの "Mitigation" に、5 つのワークアラウンドが記載されています。
公表日 2011年8月29日0:00
登録日 2011年9月1日11:25
最終更新日 2017年7月25日13:51
影響を受けるシステム
レッドハット
Red Hat Enterprise Linux 4 (as)
Red Hat Enterprise Linux 4 (es)
Red Hat Enterprise Linux 4 (ws)
Red Hat Enterprise Linux 5 (server)
Red Hat Enterprise Linux Desktop 4.0
Red Hat Enterprise Linux Desktop 5.0 (client)
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux ELS 3
Red Hat Enterprise Linux EUS 5.6.z (server)
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux Long Life (v. 5.3 server)
Red Hat Enterprise Linux Long Life (v. 5.6 server)
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server EUS 6.0.z
Red Hat Enterprise Linux Server EUS 6.1.z
Red Hat Enterprise Linux Workstation 6
RHEL Desktop Workstation 5 (client)
ヒューレット・パッカード
HP Secure Web Server for OpenVMS V2.2 およびそれ以前のバージョン
HP-UX 11.23
HP-UX 11.31
HP-UX Web Server Suite v3.19
Apache Software Foundation
Apache HTTP Server 1.3 系
Apache HTTP Server 2.x 系
オラクル
Oracle Application Server 10g Release 2 version 10.1.2.3
Oracle Application Server 10g Release 3 version 10.1.3.5
Oracle Fusion Middleware 11g Release 1 versions 11.1.1.3
Oracle Fusion Middleware 11g Release 1 versions 11.1.1.4
Oracle Fusion Middleware 11g Release 1 versions 11.1.1.5
Oracle Secure Backup 10.3.0.3
Oracle Secure Backup 10.4.0.1
Oracle Solaris 10
Oracle Solaris 11 Express
Oracle Supply Chain Products Suite 5.5.06
Oracle Supply Chain Products Suite 6.0
Oracle Supply Chain Products Suite 6.1
Oracle Supply Chain Products Suite 6.2
IBM
IBM HTTP Server 1.3
IBM HTTP Server 2.0
IBM HTTP Server 6.0
IBM HTTP Server 6.1
IBM HTTP Server 7.0
IBM HTTP Server 8.0
サイバートラスト株式会社
Asianux Server 3.0
Asianux Server 3.0 (x86-64)
Asianux Server 4.0
Asianux Server 4.0 (x86-64)
アップル
Apple Mac OS X v10.6.8
Apple Mac OS X v10.7 および v10.7.1
Apple Mac OS X Server v10.6.8
Apple Mac OS X Server v10.7 および v10.7.1
日本電気
CSVIEW /FAQナビ
CSVIEW /Webアンケート
PASOLINK NMS 
WebOTX Enterprise Edition V4.1 から V6.5
WebOTX Standard Edition V4.1 から V6.5
WebOTX Standard-J Edition V4.1 から V6.5
WebOTX Web Edition V4.1 から V6.5
WebOTX Application Server Enterprise Edition V7.1 から V8.1
WebOTX Application Server Enterprise V8.2 から V8.4
WebOTX Application Server Express V8.2 から V8.4
WebOTX Application Server Foundation V8.2 から V8.4
WebOTX Application Server Standard Edition V7.1 から V8.1
WebOTX Application Server Standard V8.2 から V8.4
WebOTX Application Server Standard-J Edition V7.1 から V8.1
WebOTX Enterprise Service Bus V6.4 から V8.4
WebOTX Portal V8.2 から V8.3
WebOTX SIP Application Server Standard Edition V7.1 から V8.1
富士通
Internet Navigware Server 
Interstage Application Development Cycle Manager 
Interstage Application Framework Suite 
Interstage Application Server 
Interstage Apworks 
Interstage Business Application Server 
Interstage Form Coordinator Workflow 
Interstage Job Workload Server 
Interstage List Manager 
Interstage List Works 
Interstage Service Integrator 
Interstage Studio 
Interstage Web Server 
Interstage XML Business Activity Recorder 
Systemwalker Availability View 
Systemwalker Centric Manager 
Systemwalker Desktop Inspection 
Systemwalker IT Change Manager 
Systemwalker IT Process Master 
Systemwalker Resource Coordinator 
Systemwalker Runbook Automation 
Systemwalker Service Catalog Manager 
Systemwalker Service Quality Coordinator 
Systemwalker Software Configuration Manager 
クラウド インフラ マネージメント ソフトウェア 
日立
Groupmax Collaboration - Server
HiRDB RealTime Monitor 
Hitachi Device Manager Software
Hitachi Global Link Manager Software
Hitachi IT Operations Analyzer 
Hitachi IT Operations Director 
Hitachi Provisioning Manager Software
Hitachi Replication Manager Software
Hitachi Tiered Storage Manager Software
Hitachi Tuning Manager Software
Hitachi Web Server 
Job Management Partner 1/Automatic Job Management System 3 - Web Operation Assistant(英語版)
Job Management Partner 1/Performance Management - Web Console (海外版)
JP1/Automatic Job Management System 2 - Web Operation Assistant
JP1/Automatic Job Management System 3 - Web Operation Assistant
JP1/Cm2/SNMP System Observer 
JP1/HiCommand Device Manager 
JP1/HiCommand Provisioning Manager 
JP1/HiCommand Replication Monitor 
JP1/HiCommand Tiered Storage Manager 
JP1/HiCommand Tuning Manager 
JP1/Integrated Management - Service Support
JP1/IT Resource Management - Manager
JP1/IT Service Level Management - Manager
JP1/Performance Management - Manager Web Option
JP1/Performance Management - Web Console
JP1/ServerConductor/Control Manager 
uCosminexus Application Server Enterprise
uCosminexus Application Server Express
uCosminexus Application Server Light
uCosminexus Application Server Smart Edition
uCosminexus Application Server Standard
uCosminexus Application Server Standard-R
uCosminexus Collaboration - Server
uCosminexus Developer 01
uCosminexus Developer Light
uCosminexus Developer Professional
uCosminexus Developer Professional for Plug-in
uCosminexus Developer Standard
uCosminexus Navigation Developer
uCosminexus Navigation Platform
uCosminexus Navigation Platform - Authoring License
uCosminexus Navigation Platform - User License
uCosminexus Primary Server Base
uCosminexus Service Architect
uCosminexus Service Platform
uCosminexus Service Platform - Messaging
uCosminexus Stream Data Platform - Application Framework
電子フォームワークフロー スタンダードセット
電子フォームワークフロー セット
電子フォームワークフロー ディベロッパクライアントセット
電子フォームワークフロー ディベロッパセット
電子フォームワークフロー プロフェッショナル Libraryセット
電子フォームワークフロー プロフェッショナルセット
リコー
Ridoc Document Router Pro V2 V.2.2.5.0 未満
Ridoc Document Router V3 V.3.2.5.0 未満
Ridoc Document Router V4 V.4.0.6.0 未満
Ridoc Document Server EP V1/V1 タイプ H V.1.0.6.0 未満
Ridoc Document Server EP V2/V2 タイプ H V.2.0.5.0 未満
Ridoc Document Server V3 V.3.2.4.0 未満
Ridoc Document System 画像ログオプション V1 V.1.1.5.0 未満
Ridoc IO OperationServer  Pro / 機器運用管理ユーティリティー IS02.09.00 未満
Ridoc Web Navigator Lt V.1.0.6.0 未満
Ridoc Web Navigator V3 V.3.3.8.0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2011年09月01日]
  掲載
[2011年09月20日]
  影響を受けるシステム:ミラクル・リナックス (2236) の情報を追加
  影響を受けるシステム:ヒューレット・パッカード (HPSBUX02702) の情報を追加
  ベンダ情報:Apache Software Foundation (Apache httpd 2.2 vulnerabilities) を追加
  ベンダ情報:ミラクル・リナックス (2236) を追加
  ベンダ情報:IBM (4030863) を追加
  ベンダ情報:IBM (1512087) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX02702) を追加
[2011年11月28日]
  影響を受けるシステム:日立 (HS11-019) の情報を追加
  影響を受けるシステム:日立 (HS11-020) の情報を追加
  影響を受けるシステム:日立 (HS11-021) の情報を追加
  影響を受けるシステム:日立 (HS11-022) の情報を追加
  影響を受けるシステム:オラクル (cve_2011_3192_denial_of) の情報を追加
  影響を受けるシステム:オラクル (alert-cve-2011-3192-485304) の情報を追加
  影響を受けるシステム:ヒューレット・パッカード (HPSBUX02702) の情報を更新
  影響を受けるシステム:レッドハット (RHSA-2011:1294) の情報を追加
  影響を受けるシステム:レッドハット (RHSA-2011:1300) の情報を追加
  ベンダ情報:日立 (HS11-019) を追加
  ベンダ情報:日立 (HS11-020) を追加
  ベンダ情報:日立 (HS11-021) を追加
  ベンダ情報:日立 (HS11-022) を追加
  ベンダ情報:IBM (7021867) を追加
  ベンダ情報:IBM (J1008285) を追加
  ベンダ情報:オラクル (cve_2011_3192_denial_of) を追加
  ベンダ情報:オラクル (alert-cve-2011-3192-485304) を追加
  ベンダ情報:レッドハット (RHSA-2011:1294) を追加
  ベンダ情報:レッドハット (RHSA-2011:1300) を追加
[2011年12月06日]
  影響を受けるシステム:富士通 (interstage_as_201102) の情報を更新
[2012年01月18日]
  影響を受けるシステム:オラクル (Oracle Critical Patch Update Advisory - January 2012) の情報を追加
  影響を受けるシステム:アップル (HT5002) の情報を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2012) を追加
  ベンダ情報:オラクル (January 2012 Critical Patch Update Released) を追加
  ベンダ情報:アップル (HT5002) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX02707 SSRT100626) を追加
  ベンダ情報:レッドハット (RHSA-2011:1329) を追加
  ベンダ情報:レッドハット (RHSA-2011:1330) を追加
  ベンダ情報:レッドハット (RHSA-2011:1369) を追加
  ベンダ情報:SUSE Linux (openSUSE-SU-2011:0993) を追加
  ベンダ情報:SUSE Linux (SUSE-SU-2011:1000) を追加
  ベンダ情報:SUSE Linux (SUSE-SU-2011:1007) を追加
  ベンダ情報:SUSE Linux (SUSE-SU-2011:1010) を追加
  ベンダ情報:Ubuntu (USN-1199-1) を追加
  ベンダ情報:Mandriva (MDVSA-2011:130) を追加
[2012年02月15日]
  影響を受けるシステム:日本電気 (NV11-005) の情報を追加
  ベンダ情報:日本電気 (NV11-005) を追加
[2012年05月14日]
  ベンダ情報:オラクル (CVE-2011-3192 Denial of Service vulnerability in Apache HTTP Server) を追加
[2012年07月20日]
  影響を受けるシステム:オラクル (Oracle Critical Patch Update Advisory - July 2012) の情報を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2012) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2012 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2012 Critical Patch Update Released) を追加
[2012年08月13日]
  ベンダ情報:シスコシステムズ (cisco-sa-20110830-apache) を追加
[2012年11月28日]
  影響を受けるシステム:ヒューレット・パッカード (HPSBOV02822 SSRT100966) の情報を追加
  ベンダ情報:ヒューレット・パッカード (HPSBOV02822 SSRT100966) を追加
[2012年11月30日]
  影響を受けるシステム:リコー (Ridocソフトウェア製品での「Apache HTTPD サーバーにおけるサービス運用妨害 (DoS) の脆弱性」について) の情報を追加
  ベンダ情報:リコー (Ridocソフトウェア製品での「Apache HTTPD サーバーにおけるサービス運用妨害 (DoS) の脆弱性」について) を追加
[2013年10月23日]
  影響を受けるシステム:日本電気 (NV11-005) の情報を追加
  ベンダ情報:日本電気 (NV11-005) の情報を更新
[2017年07月25日]
  影響を受けるシステム:ベンダ情報 (NV11-005) の更新に伴い内容を更新		 2018年2月17日10:37