Apacheへのゼロデイ攻撃が発生？

　8月の半ばを過ぎたあたりに、HTTPリクエストのRangeフィールドに関する脆弱性が、セキュリティ関連の業界で話題になっていた。問題点は、Rangeフィールドに長いパラメータやフィールドの繰り返しがあると、その対処方法が実装依存になっており、大量のリクエストにつながりDoS攻撃（サービス停止攻撃）が可能になるというものだ。

　実際に、その手法を用いた攻撃らしきものも確認されていた。それが「Apache Killer」と呼ばれるPerlスクリプトだ。すぐさま、各国のセキュリティ機関が対応や調整活動に入ったが、その時点で攻撃の報告などもあったので、形の上ではゼロデイ攻撃といえる事態になっていたわけだ。

　8月24日にはApache開発チームからアドバイザリーが出され、上記の問題点の公表と、応急措置としてRangeフィールドを無効にしたり、カウンタを設けて制御するような対策の公開が行われた。続いて30日には、この問題に対応した新しいApacheのバージョン、2.2.20がリリースされ、更新するようにアナウンスがされている。

　現時点では、このバージョンアップでApache Killerの攻撃は無効化できることが、各所で確認されている。なお、Rangeフィールドの扱いはMicrosoftのIISでは、上限を設定しているため、この攻撃の影響はないそうだ。

この件が企業にとって無視できない理由