◆最新のApacheかどうか調べるためのツール
巷で話題の Apache の脆弱性 CVE-2011-3192 に対応した Apache かどうか調べるためのツールを作ってみました。よろしければどうぞ。
CVE-2011-3192 checker
http://cve-2011-3192.pocketstudio.net/
◆何するモノぞ?
サーバが Apache 2.2.20 相当かどうか調べるためのツールです。中は、Apache 2.2.20 と、それ以前で違う挙動について調べます。具体的には HEAD リクエストを対象サーバに投げ、どのような応答が返ってくるかで判定を行います。
このツールを使えば「CVE-2011-3192の脆弱性に対処された Apache かどうか」を調べることができます。問題ないと表示されれば、そのサーバは対処済みのApacheを使用していることがわかります。
なお、Apache のメーリングリストでは、httpd.conf の編集による回避策が書かれています。mod_rewrite の対策を施している場合も、このツールは「脆弱性アリ」と表示してしまいます(今のところ、さほど高度なことはしていません)悪しからず。
◆どうしてこれを公開したの?
CVE-2011-3192 の脆弱性は、未対策であれば潜在的なサーバ停止リスクを伴います。そのための注意喚起と、簡単なチェックが出来るようにする事が目的です。このチェッカーは、出回っているツールに対しての耐性を調べるものではありません。むしろ、出回っているツールに対する脅威よりも、この脆弱性そのものによって発生しうる危険性のほうが「シャレにならない」と考えたからであります。
緊急度については、提供しているサービスに応じて判断すべきと思います。現時点で悪質な攻撃ツールが出回っていないという点で、後回しにしてもいいかもしれません。ですが、一昔前の Ramen や li0n というワームのように、拡散しはじめてから対策を取ろうとしても大変、という事もありえますので、各々状況に応じた判断が求められるのではないでしょうか。
※ちなみにApache以外のサーバに投げても判定不能と表示されますので、あしからず。今のところサーバ側の判別を行っていませんが、要望があれば追加しようと思います。