Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2018-1303] Apache httpd mod_cache_socache DoS
작성일 2018-05-17 조회 49

공격명
[CVE-2018-1303] Apache httpd mod_cache_socache DoS

 

Type: WEB
Vendor : Apache Software Foundation 
공격 위치: NETWORK
공격 복잡도 : LOW
인증 필요성 : NONE
기밀성 : NONE
무결성 : NONE
가용성 : PARTIAL

 

 

공격설명
Apache httpd에 서비스 거부 취약점이 존재한다.
해당 취약점은 HTTP 요청시 헤더의 부적절한 유효성 검사로 인해 발생한다.
mod_cache_socache 모듈이 활성화 된 대상 서버는 HTTP 요청 헤더를 공유 메모리 캐시를 준비하는 동안 바운드 읽기를 진행한다.

 

원격의 공격자는 다수의 값이 없는 헤더 요청을 대상 서버로 보내 처리하도록 함으로써 서비스 충돌 및 서비스 거부 상태가 발생하도록 한다.
해당 취약점은 mod_cache_socache가 널리 사용되지 않기 때문에 위험도가 낮게 책정되었고, mod_cache_disk는 해당 취약점과 관련이 없다.

 

해당 패턴은 조작된 헤더요청 공격 패킷에서 추출했다.

 


포트
80/TCP

 


취약시스템

Apache Software Foundation httpd 2.4.6 to 2.4.29

 

 

공격영향
서비스 장애

 

 

해결방안

벤더사에서 제공하는 최신의 패치를 적용한다.
https://httpd.apache.org/security/vulnerabilities_24.html

 


오탐가능성

다음과 같을 경우 정탐으로 판단한다.
1) 탐지 문자열이 HTTP Request 헤더에 위치한다.
2) HTTP 요청에 다수의 값이 없는 헤더 필드가 존재한다.
3) 이와 같은 패킷은 지속적으로 유입된다.

 

 

WINS 권고 Snort 패턴

alert tcp any any -> any 80 (msg:"Apache httpd mod_cache_socache DoS"; flow:to_server; content:"|3a 0d 0a 48 6f 73 74 3a 20|"; pcre:"/w(.*)x3ax0dx0aw(.*)x3ax0dx0aw(.*)x3ax0dx0aw(.*)x3ax0dx0aHostx3a/"; priority:2; sid:0;)

 


참조
https://httpd.apache.org/security/vulnerabilities_24.html

첨부파일 첨부파일이 없습니다.
태그 CVE-2018-1303