【作ってみた】CVE-2011-3192のチェカー

【作ってみた】CVE-2011-3192のチェカー はてなブックマーク - 【作ってみた】CVE-2011-3192のチェカー


◆最新のApacheかどうか調べるためのツール

巷で話題の Apache の脆弱性 CVE-2011-3192 に対応した Apache かどうか調べるためのツールを作ってみました。よろしければどうぞ。

CVE-2011-3192 checker
http://cve-2011-3192.pocketstudio.net/

◆何するモノぞ?

サーバが Apache 2.2.20 相当かどうか調べるためのツールです。中は、Apache 2.2.20 と、それ以前で違う挙動について調べます。具体的には HEAD リクエストを対象サーバに投げ、どのような応答が返ってくるかで判定を行います。

このツールを使えば「CVE-2011-3192の脆弱性に対処された Apache かどうか」を調べることができます。問題ないと表示されれば、そのサーバは対処済みのApacheを使用していることがわかります。

なお、Apache のメーリングリストでは、httpd.conf の編集による回避策が書かれています。mod_rewrite の対策を施している場合も、このツールは「脆弱性アリ」と表示してしまいます(今のところ、さほど高度なことはしていません)悪しからず。

◆どうしてこれを公開したの?

CVE-2011-3192 の脆弱性は、未対策であれば潜在的なサーバ停止リスクを伴います。そのための注意喚起と、簡単なチェックが出来るようにする事が目的です。このチェッカーは、出回っているツールに対しての耐性を調べるものではありません。むしろ、出回っているツールに対する脅威よりも、この脆弱性そのものによって発生しうる危険性のほうが「シャレにならない」と考えたからであります。

緊急度については、提供しているサービスに応じて判断すべきと思います。現時点で悪質な攻撃ツールが出回っていないという点で、後回しにしてもいいかもしれません。ですが、一昔前の Ramen や li0n というワームのように、拡散しはじめてから対策を取ろうとしても大変、という事もありえますので、各々状況に応じた判断が求められるのではないでしょうか。

※ちなみにApache以外のサーバに投げても判定不能と表示されますので、あしからず。今のところサーバ側の判別を行っていませんが、要望があれば追加しようと思います。