Apache HTTP Server では、Range ヘッダを多数指定したリクエストを受けた際にサーバリソースを大量に消費することがある脆弱性がございます
(脆弱性情報データベース:CVE-2011-3192)。
本脆弱性に関して、GUARDIANWALL、WEBGUARDIAN における影響および回避策をご案内いたします。
詳細につきましては、以下をご参照いただけますようお願いいたします。
1 対象バージョン
本案内事項は、以下の製品・バージョンを対象としております。
製品名 |
バージョン |
GUARDIANWALL |
5.0.00 ~ 7.4.00 (Linux版) |
WEBGUARDIAN |
3.0.00 ~ 3.6.00 (Linux版) |
2 内容
Apache HTTP Server 2.0~2.2 では、多数の Range ヘッダ指定を含むリクエストを受けた場合に
CPU やメモリを大量に消費するという脆弱性が確認されており、その結果、サービスダウン等に繋がることが懸念されます。
WEBGUARDIAN 検査サーバでは Apache HTTP Server 2.0 ~ 2.2 を利用しているため本脆弱性の影響を受けます。
Webプロキシーとして動作させている場合にも Range リクエストを処理するため、本脆弱性の影響を受けます。
なお、GUARDIANWALL および WEBGUARDIAN の管理サーバ(検査サーバマシン上の管理サーバパッケージを含む)、
GUARDIANWALL 一時保留メール管理画面、WEBGUARDIAN 独自認証用パスワード変更画面では
Apache HTTP Server 1.3 を利用しているため、本脆弱性の影響は受けません。
しかしながら、いずれも Range リクエストに対応しており、同様の攻撃を受けるとサーバの負荷が増加します。
※本件における Range リクエストとは、Webページ上のコンテンツの容量範囲を指定して要求する HTTP リクエストです。
例えば、コンテンツの最初から 100 バイト分の範囲を要求する場合には、"Range: bytes=0-100" のような
HTTP ヘッダを指定して送信します。
また、単一の範囲指定だけでなく複数の範囲指定が可能で、"Range: bytes=0-100, 1-101, ・・・"
のように重複した範囲の指定も可能です。
しかし Apache HTTP Server ではこのような冗長な Range リクエストを最適化せず一つ一つ個別に処理してしまうため、
大量のサーバリソースを消費する場合があります。
3 回避策
WEBGUARDIAN 検査サーバがプロキシーとして中継するアクセスについては、
一定個数以上の範囲指定を持つ場合に Range ヘッダや Request-Range ヘッダを含むリクエストを拒否するように設定を変更することで、
攻撃に対する影響を緩和することが可能です。
管理サーバ、GUARDIANWALL 一時保留メール管理画面、WEBGUARDIAN 独自認証用パスワード変更画面についても Range リクエストに対応しているため、
念のため本対策を実施することを推奨いたします。
これらのサービスについては Range リクエストを受け付ける必要がございませんので、Apache の設定を変更して、
一定個数以上の範囲指定を持つ Range ヘッダを含むリクエスト、
および Request-Range ヘッダを含む全てのリクエストを拒否するようにします。
なお、WEBGUARDIAN 検査サーバについては、本回避策では Adobe Reader による
PDF 分割取得やダウンロードツールによる分割ダウンロード、ストリーミングなどの Web アクセスに制限がかかってしまうため、
今後 WEBGUARDIAN V3.6 用の修正パッチを提供させていただく予定です。
以下に、製品・バージョンごとの回避策を記載いたします。
(※追加)と記載されている行を追加してください。
また、(※コメントアウト)と記載されている行については、行頭に ”#” を挿入してコメントアウトしてください。
本回避策を適用後、アップグレードや設定のバックアップ・リストアを行った際に、回避策の再設定が必要になる場合がございます。
製品・バージョンごとの再設定の要否については、下記からご確認ください。
WEBGUARDIAN V3.0.00 ~ 3.6.00
WEBGUARDIAN 検査サーバ
(1) 管理サーバの /opt/Guardian/Admin/etc/wg/httpd.conf.tpl に以下の 6 行を追記します。
・・・略・・・
# mod_setenvif
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
・・・略・・・
BrowserMatch "^WebDAVFS/1.[012]" redirect-carefully
BrowserMatch "^gnome-vfs" redirect-carefully
{literal} (※追加 1)
SetEnvIf Range (,[^,]*){50,50} bad-range=1 (※追加 2)
SetEnvIf Request-Range (,[^,]*){50,50} bad-range=1 (※追加 3)
{/literal} (※追加 4)
・・・略・・・
<Directory /opt/Guardian/WG/data/htdocs>
AllowOverride None
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 5)
</Directory>
・・・略・・・
{if $common.SetEnvIfNoCase}
{foreach from=$common.SetEnvIfNoCase item=seval}
SetEnvIfNoCase {$seval}
{/foreach}
{/if}
Order allow,deny
Allow from {$private.Allow}
Deny from env=bad-range (※追加 6)
</Proxy>
・・・略・・・
(2) ご利用の WEBGUARDIAN のバージョンが V3.0.00~3.2.00 の場合は、同ファイルに以下の編集も行います
(WEBGUARDIAN V3.2.01 以降の場合は不要です) 。
・・・略・・・
#<Location /server-status> (※コメントアウト)
# SetHandler server-status (※コメントアウト)
# Order deny,allow (※コメントアウト)
# Deny from all (※コメントアウト)
# Allow from all (※コメントアウト)
#</Location> (※コメントアウト)
#<Location /cache-status> (※コメントアウト)
# SetHandler wg_cache-status (※コメントアウト)
# Order deny,allow (※コメントアウト)
# Deny from all (※コメントアウト)
# Allow from all (※コメントアウト)
#</Location> (※コメントアウト)
・・・略・・・
(3) 上記の設定完了後、管理サーバで以下のコマンドを実行します。
これにより、検査サーバへの設定反映と検査サーバの Apache サービスの再起動が行われます。
# /opt/Guardian/Admin/support/pushWebWG -r httpd
GUARDIAN 管理サーバ (検査サーバマシン上の管理サーバパッケージも含む)
(1) 管理サーバの /opt/Guardian/Admin/httpd/conf/httpd.conf に以下の 4 行を追記します。
・・・略・・・
<Directory "/opt/Guardian/Admin/htdocs">
Options FollowSymLinks MultiViews ExecCGI
AllowOverride None
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 1)
</Directory>
・・・略・・・
<Directory "/opt/Guardian/Admin/htdocs/icons">
Options MultiViews
AllowOverride None
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 2)
</Directory>
・・・略・・・
<IfModule mod_setenvif.c>
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
SetEnvIf Range . bad-range=1 (※追加 3)
SetEnvIf Request-Range . bad-range=1 (※追加 4)
</IfModule>
・・・略・・・
(2) 上記設定完了後、管理サーバで以下のコマンドを実行し、Apache サービスを再起動します。
# /etc/init.d/Guardian.admin restart
(3) 検査サーバを別筐体にインストールしている場合は、検査サーバ側にて上記 (1) (2) と同じ手順でファイル編集および
Apache サービスの再起動を実施します。
ファイルパス、編集内容、再起動コマンドは上記管理サーバの場合と同一です。
WEBGUARDIAN 独自認証用パスワード変更画面 (WEBGUARDIAN V3.4~)
(1) WEBGUARDIAN V3.4.00 以降のバージョンで独自認証機能を利用している場合、
管理サーバの /opt/Guardian/Admin/public/conf/httpd.conf に以下の 3行を追記します。
・・・略・・・
<Directory "/opt/Guardian/Admin/public">
Options FollowSymLinks MultiViews ExecCGI
AllowOverride None
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 1)
</Directory>
・・・略・・・
<IfModule mod_setenvif.c>
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
SetEnvIf Range . bad-range=1 (※追加 2)
SetEnvIf Request-Range . bad-range=1 (※追加 3)
</IfModule>
・・・略・・・
(2) 上記設定完了後、管理サーバで以下のコマンドを実行し、独自認証用パスワード変更画面の Apache サービスを再起動します。
# /etc/init.d/Guardian.pub restart
注意事項
回避策適用後のアップグレード時の注意事項
httpd.conf.tpl に設定した値は、アップグレード時に継承されずに新たに上書きされます
(検査サーバ側の設定も同様に上書きされます)。
また、管理サーバ (検査サーバマシン上の管理サーバパッケージも含む)
および独自認証用パスワード変更画面の httpd.conf については、
アップグレード時に一部の設定 (port番号) 以外は継承されません。
そのため、本回避策を適用した後にアップグレードを行った場合、本回避策を再設定していただく必要があります。
回避策適用後の設定バックアップ・リストア時の注意事項
-
管理サーバ:/opt/Guardian/Admin/httpd/conf/httpd.conf
本ファイルは管理画面「設定バックアップ・リストア」およびサポートツール「rescue.php」のバックアップ対象となります。
「rescue.php」による設定リストアではバージョン間の設定変更により一部書き換えがされることがありますが、
その他の設定は継承されます。従って回避策の再設定は必要ありません。
管理画面による設定リストアでは同ファイルは対象から外れるため、再設定が必要となります。
-
検査サーバ:/opt/Guardian/Admin/etc/wg/httpd.conf.tpl
本ファイルはサポートツール「rescue.pl」のバックアップ対象となりませんので、
本回避策を設定していない環境に設定リストアした場合には再設定が必要となります。
-
検査サーバマシン上の管理サーバパッケージ:
/opt/Guardian/Admin/httpd/conf/httpd.conf
本ファイルはサポートツール「rescue.pl」のバックアップ対象です。
設定リストア時はすべての設定が継承されますので、回避策の再設定は必要ありません。
-
独自認証用パスワード変更画面:/opt/Guardian/Admin/public/conf/httpd.conf
本ファイルは管理画面「設定バックアップ・リストア」およびサポートツール「rescue.php」のバックアップ対象となります。
設定リストア時にはバージョン間の設定変更により一部書き換えがされることがありますが、
その他の設定は継承されることになります。従って回避策の再設定は必要ありません。
WEBGUARDIAN V3.6 のアップグレードモジュールについて
WEBGUARDIAN V3.6 の アップデートモジュール 20110624 にて、
Apacheユーザ名列挙脆弱性の対応のため httpd.conf の変更がございますが、
本回避策はこのパッチの適用前後のどちらで実施いただいても問題ありません。
GUARDIANWALL V7.0.00~7.4.00
GUARDIAN 管理サーバ (検査サーバマシン上の管理サーバパッケージも含む)
(1) 管理サーバの /opt/Guardian/Admin/httpd/conf/httpd.conf に以下の 4 行を追記します。
・・・略・・・
<Directory "/opt/Guardian/Admin/htdocs">
Options FollowSymLinks MultiViews ExecCGI
AllowOverride None
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 1)
</Directory>
・・・略・・・
<Directory "/opt/Guardian/Admin/htdocs/icons">
Options MultiViews
AllowOverride None
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 2)
</Directory>
・・・略・・・
<IfModule mod_setenvif.c>
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
SetEnvIf Range . bad-range=1 (※追加 3)
SetEnvIf Request-Range . bad-range=1 (※追加 4)
</IfModule>
・・・略・・・
(2) 上記設定完了後、管理サーバで以下のコマンドを実行し、Apache サービスを再起動します。
# /etc/init.d/Guardian.admin restart
(3) 検査サーバを別筐体にインストールしている場合は、検査サーバ側にて上記 (1) (2) と同じ手順でファイル編集および
Apache サービスの再起動を実施します。
ファイルパス、編集内容、再起動コマンドは上記管理サーバの場合と同一です。
一時保留メール管理画面(GUARDIANWALL V7.4)
(1) GUARDIANWALL V7.4 で一時保留メール管理画面のログイン機能を有効にしている場合、
管理サーバの /opt/Guardian/Admin/public/conf/httpd.conf に以下の 3 行を追記します。
・・・略・・・
<Directory "/opt/Guardian/Admin/public">
Options FollowSymLinks MultiViews ExecCGI
AllowOverride None
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 1)
</Directory>
・・・略・・・
<IfModule mod_setenvif.c>
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
SetEnvIf Range . bad-range=1 (※追加 2)
SetEnvIf Request-Range . bad-range=1 (※追加 3)
</IfModule>
・・・略・・・
(2) 上記設定完了後、管理サーバで以下のコマンドを実行し、一時保留メール管理画面用の Apache サービスを再起動します。
# /etc/init.d/Guardian.pub restart
注意事項
回避策適用後のアップグレード時の注意事項
管理サーバ (検査サーバマシン上の管理サーバパッケージも含む)、および一時保留管理画面の httpd.conf については、
アップグレード時に一部の設定 (port番号) 以外は継承されません。
そのため、本回避策を適用した後にアップグレードを行った場合、本回避策の再設定が必要となります。
回避策適用後の設定バックアップ・リストア時の注意事項
-
管理サーバ:/opt/Guardian/Admin/httpd/conf/httpd.conf
本ファイルは管理画面「設定バックアップ・リストア」およびサポートツール「rescue.php」のバックアップ対象となります。
「rescue.php」による設定リストアではバージョン間の設定変更により一部書き換えがされることがありますが、
その他の設定は継承されます。従って回避策の再設定は必要ありません。
管理画面による設定リストアでは同ファイルは対象から外れるため、再設定が必要となります。
なお、GUARDIANWALL V5.0~5.3 でバックアップした設定を、サポートツール「resconf_mgwall.pl」を使用してリストアした場合、
回避策の再設定が必要となります。
-
検査サーバマシン上の管理サーバパッケージ:
/opt/Guardian/Admin/httpd/conf/httpd.conf
本ファイルはサポートツール「rescue.pl」のバックアップ対象です。
設定リストア時はすべての設定が継承されますので、回避策の再設定は必要ありません。
ただし、GUARDIANWALL V5.0~5.3 でバックアップした設定をリストアした場合、回避策の再設定が必要となります。
-
一時保留メール管理画面:/opt/Guardian/Admin/public/conf/httpd.conf
本ファイルは管理画面「設定バックアップ・リストア」およびサポートツール「rescue.php」のバックアップ対象となります。
設定リストア時にはバージョン間の設定変更により一部書き換えがされることがありますが、
その他の設定は継承されることになります。従って回避策の再設定は必要ありません。
GUARDIANWALL V7.4 のアップグレードモジュールについて
GUARDIANWALL V7.4 の アップデートモジュール 20110624 にて、
Apacheユーザ名列挙脆弱性の対応のため httpd.conf の変更がございますが、
本回避策はこのパッチの適用前後のどちらで実施いただいても問題ありません。
GUARDIANWALL 6.0.10~6.0.11
GUARDIAN 管理サーバ (検査サーバマシン上の管理サーバパッケージも含む)
(1) 管理サーバの /opt/Guardian/Admin/httpd/conf/httpd.conf に以下の 4 行を追記します。
・・・略・・・
<Directory "/opt/Guardian/Admin/htdocs">
Options FollowSymLinks MultiViews ExecCGI
AllowOverride None
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 1)
</Directory>
・・・略・・・
<Directory "/opt/Guardian/Admin/htdocs/icons">
Options MultiViews
AllowOverride None
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 2)
</Directory>
・・・略・・・
<IfModule mod_setenvif.c>
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
SetEnvIf Range . bad-range=1 (※追加 3)
SetEnvIf Request-Range . bad-range=1 (※追加 4)
</IfModule>
・・・略・・・
(2) 上記設定完了後、管理サーバで以下のコマンドを実行し、Apache サービスを再起動します。
# /etc/init.d/Guardian.admin restart
(3) 検査サーバを別筐体にインストールしている場合は、検査サーバ側にて上記 (1) (2) と同じ手順でファイル編集および
Apache サービスの再起動を実施します。
ファイルパス、編集内容、再起動コマンドは上記管理サーバの場合と同一です。
注意事項
回避策適用後のアップグレード時の注意事項
管理サーバ (検査サーバマシン上の管理サーバパッケージも含む) の httpd.conf については、
アップグレード時に一部の設定 (port番号) 以外は継承されません。
そのため、本回避策を適用した後にアップグレードを行った場合、本回避策の再設定が必要となります。
回避策適用後の設定バックアップ・リストア時の注意事項
-
管理サーバ:/opt/Guardian/Admin/httpd/conf/httpd.conf
本ファイルは管理画面「設定バックアップ・リストア」およびサポートツール「rescue.php」のバックアップ対象となります。
「rescue.php」による設定リストアではバージョン間の設定変更により一部書き換えがされることがありますが、
その他の設定は継承されます。従って回避策の再設定は必要ありません。
管理画面による設定リストアでは同ファイルは対象から外れるため、再設定が必要となります。
なお、GUARDIANWALL V5.0~5.3 でバックアップした設定を、サポートツール「resconf_mgwall.pl」を使用してリストアした場合、
回避策の再設定が必要となります。
-
検査サーバマシン上の管理サーバパッケージ:
/opt/Guardian/Admin/httpd/conf/httpd.conf
本ファイルはサポートツール「rescue.pl」のバックアップ対象です。
設定リストア時はすべての設定が継承されますので、回避策の再設定は必要ありません。
ただし、GUARDIANWALL V5.0~5.3 でバックアップした設定をリストアした場合、回避策の再設定が必要となります。
GUARDIANWALL 6.0.00~6.0.09
GUARDIAN 管理サーバ (検査サーバマシン上の管理サーバパッケージも含む)
(1) 管理サーバの /opt/Guardian/Admin/httpd/conf/httpd.conf に以下の 4 行を追記します。
・・・略・・・
<Directory "/opt/Guardian/Admin/htdocs">
・・・略・・・
#
# Controls who can get stuff from this server.
#
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 1)
</Directory>
・・・略・・・
<Directory "/opt/Guardian/Admin/htdocs/icons">
Options MultiViews
AllowOverride None
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 2)
</Directory>
・・・略・・・
<IfModule mod_setenvif.c>
・・・略・・・
#
# The following directive disables HTTP/1.1 responses to browsers which
# are in violation of the HTTP/1.0 spec by not being able to grok a
# basic 1.1 response.
#
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
SetEnvIf Range . bad-range=1 (※追加 3)
SetEnvIf Request-Range . bad-range=1 (※追加 4)
</IfModule>
・・・略・・・
(2) 上記設定完了後、管理サーバで以下のコマンドを実行し、Apache サービスを再起動します。
# /etc/init.d/Guardian.admin restart
(3) 検査サーバを別筐体にインストールしている場合は、検査サーバ側にて上記 (1) (2) と同じ手順でファイル編集および
Apache サービスの再起動を実施します。
ファイルパス、編集内容、再起動コマンドは上記管理サーバの場合と同一です。
注意事項
回避策適用後のアップグレード時の注意事項
管理サーバ (検査サーバマシン上の管理サーバパッケージも含む) の httpd.conf については、
アップグレード時に一部の設定 (port番号) 以外は継承されません。
そのため、本回避策を適用した後にアップグレードを行った場合、本回避策の再設定が必要となります。
回避策適用後の設定バックアップ・リストア時の注意事項
-
管理サーバ:/opt/Guardian/Admin/httpd/conf/httpd.conf
本ファイルは管理画面「設定バックアップ・リストア」およびサポートツール「rescue.php」のバックアップ対象となります。
「rescue.php」による設定リストアではバージョン間の設定変更により一部書き換えがされることがありますが、
その他の設定は継承されます。従って回避策の再設定は必要ありません。
管理画面による設定リストアでは同ファイルは対象から外れるため、再設定が必要となります。
なお、GUARDIANWALL V5.0~5.3 でバックアップした設定を、サポートツール「resconf_mgwall.pl」を使用してリストアした場合、
回避策の再設定が必要となります。
-
検査サーバマシン上の管理サーバパッケージ:
/opt/Guardian/Admin/httpd/conf/httpd.conf
本ファイルはサポートツール「rescue.pl」のバックアップ対象です。
設定リストア時はすべての設定が継承されますので、回避策の再設定は必要ありません。
ただし、GUARDIANWALL V5.0~5.3 でバックアップした設定をリストアした場合、回避策の再設定が必要となります。
GUARDIANWALL 5.1.00~5.3.18
GUARDIANWALL サーバ (管理サーバパッケージ)
(1) GUARDIANWALL サーバの /opt/Guardian/httpd/conf/httpd.conf に以下の 4 行を追記します。
・・・略・・・
<Directory "/opt/Guardian/httpd/htdocs">
Options FollowSymLinks
AllowOverride FileInfo AuthConfig
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 1)
</Directory>
・・・略・・・
<Directory "/opt/Guardian/httpd/icons">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 2)
</Directory>
・・・略・・・
<IfModule mod_setenvif.c>
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
SetEnvIf Range . bad-range=1 (※追加 3)
SetEnvIf Request-Range . bad-range=1 (※追加 4)
</IfModule>
・・・略・・・
(2) 上記設定完了後、以下のコマンドを実行して GUARDIANWALL サービスを再起動します。
# /etc/init.d/MailWall restart
注意事項
回避策適用後のアップグレード時の注意事項
GUARDIANWALL サーバの httpd.conf については、アップグレード時に一部の設定 (port番号) 以外は継承されません。
そのため、本回避策を適用した後にアップグレードを行った場合、本回避策の再設定が必要となります。
回避策適用後の設定バックアップ・リストア時の注意事項
GUARDIANWALL サーバの httpd.conf ファイルは、サポートツール「rescue.pl」のバックアップ対象です。
設定リストア時はすべての設定が継承されますので、回避策の再設定は必要ありません。
ただし、GUARDIANWALL V5.0 でバックアップした設定をリストアした場合、再設定が必要となります。
GUARDIANWALL 5.0.00~5.0.24
GUARDIANWALL サーバ (管理サーバパッケージ)
(1) GUARDIANWALLサーバの /opt/MailGuardian/Wall/httpd/conf/httpd.conf に以下の 5 行を追記します。
・・・略・・・
<Directory "/opt/MailGuardian/Wall/httpd/htdocs/wall">
Options FollowSymLinks
#AllowOverride None
AllowOverride FileInfo AuthConfig
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 1)
</Directory>
<Directory "/opt/MailGuardian/Wall/httpd/htdocs/wall_search">
Options FollowSymLinks
#AllowOverride None
AllowOverride FileInfo AuthConfig
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 2)
</Directory>
・・・略・・・
<Directory "/opt/MailGuardian/Wall/httpd/icons">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
Deny from env=bad-range (※追加 3)
</Directory>
・・・略・・・
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
SetEnvIf Range . bad-range=1 (※追加 4)
SetEnvIf Request-Range . bad-range=1 (※追加 5)
・・・略・・・
(2) 上記設定完了後、以下のコマンドを実行して GUARDIANWALL サービスを再起動します。
# /etc/init.d/MailWall restart
注意事項
回避策適用後のアップグレード時の注意事項
GUARDIANWALL サーバの httpd.conf については、アップグレード時に一部の設定 (port番号) 以外は継承されません。
そのため、本回避策を適用した後にアップグレードを行った場合、本回避策の再設定が必要となります。
回避策適用後の設定バックアップ・リストア時の注意事項
GUARDIANWALL サーバの httpd.conf ファイルは、サポートツール「rescue.pl」のバックアップ対象です。
設定リストア時はすべての設定が継承されますので、回避策の再設定は必要ありません。
回避策の再設定要否一覧表
本回避策を実施した後にアップグレード/設定バックアップ・リストアを行った場合に回避策の再設定が必要となるかどうかについて、
製品・バージョンごとの一覧表を記載いたします。
詳細は、各製品の回避策にて記載しております「注意事項」をご確認ください。
なお、表中の ”-” は、そのサーバ、機能/パッケージが当該リストア機能のリストア対象外であることを表しています。
対象 |
再設定の要否 |
製品・バージョン |
マシン種別 |
機能/パッケージ種別 |
アップグレード時 ※1 |
設定リストア時 |
管理画面 |
rescue.php |
resconf_ mgwall.pl |
rescue.pl |
GUARDIANWALL V7.0.00~7.4.00 |
管理サーバ |
管理 |
必要 |
必要 |
不要 |
必要 |
- |
一時保留 |
必要 |
不要 |
不要 |
- |
- |
検査サーバ |
管理 |
必要 |
- |
- |
- |
※2 |
GUARDIANWALL V6.0.10~6.0.11 |
管理サーバ |
管理 |
必要 |
必要 |
不要 |
必要 |
- |
検査サーバ |
管理 |
必要 |
- |
- |
- |
※2 |
GUARDIANWALL V6.0.00~6.0.09 |
管理サーバ |
管理 |
必要 |
必要 |
不要 |
必要 |
- |
検査サーバ |
管理 |
必要 |
- |
- |
- |
※2 |
GUARDIANWALL V5.1.00~5.3.18 |
- |
管理 |
必要 |
- |
- |
- |
※3 |
GUARDIANWALL V5.0.00~5.0.24 |
- |
管理 |
必要 |
- |
- |
- |
不要 |
WEBGUARDIAN V3.0.00~3.6.00 |
管理サーバ |
管理 |
必要 |
必要 |
不要 |
- |
- |
独自認証 |
必要 |
不要 |
不要 |
- |
- |
検査サーバ |
管理 |
必要 |
- |
- |
- |
不要 |
検査 |
必要 |
- |
- |
- |
必要 |
※1 アップグレード時の再設定要否は、下位バージョンから該当バージョンへアップグレードした場合の記載です。
※2 GUARDIANWALL V5.0.00~5.3.18 で取得したバックアップデータである場合のみ、本回避策の再設定が必要です。
※3 GUARDIANWALL V5.0.00~5.0.24 で取得したバックアップデータである場合のみ、本回避策の再設定が必要です。