パスワードを忘れた? アカウント作成
951626 journal
プログラミング

iidaの日記: THC SSL DOSとCVE-2009-3555

日記 by iida

The Hacker's ChoiceのSSL再ネゴシエーションを使ったDOSツールApachenginxに対する効果を調べてみた。このツール、どうやらCVE-2009-3555の脆弱性を突いてくるらしく、CVE-2009-3555への対応版以降は効果のないことがほぼわかった。OpenSSLの版には、関係なさそう。より具体的には、

  • Apache 2.2.15
  • Apache 2.0.64
  • nginx 0.8.24

には、効果がなかった。Apache 1.3用のmod_sslやApache-SSLの最後の版が出た後にCVE-2009-3555が出たので、Apache 1.3系は、すべて脆弱。nginxは、0.8.23から対応したことになっているが、0.8.23版は (Cのプリプロセッサ・マクロの使い方が間違っていて) コンパイルできない。

脆弱なApache mod_sslは、ロード・アベレージがどんどん上がる。脆弱なnginxは、ロード・アベレージはさほど上がらないのだが、OSのリソースを先に食いつぶすらしく、Connection Refusedでつながらず、外側からはサーバーがまるで落ちているかのように見えることがある (手元の環境では実際には落ちかなかったのだが)。

この議論は、iida (8060)によって テキとトモのテキ禁止として作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...