IBM xSeries 用の IMMでは HTTP/HTTPS 機能として LIGHTTP サーバを搭載しています。
IIMMでは、古いファームウェアでは古いバージョンの lighttpd を使用していますが、この古いバージョンの lighttpdは脆弱性を含んでいます。
【脆弱性】
「lighttpd に対して、非常に遅い速度で小さく分割したリクエストを送付すると、メモリの大量消費が発生し最終的にはサービスが運用不可(Dos)となる脆弱性が存在する。」
lighttpd 1.4.26 より前のバージョンで発生します。対策するには、ファームウェアのアップデートが必要です。
参考:
修正ファームウェアの入手方法↓
●Security Bulletin: IBM System x Integrated Management Module (IMM) Lighttpd W (CVE-2011-4362, CVE-2010-0295, CVE-2008-4360, CVE-2008-4359, CVE-20084298, CVE-2008-1531)
http://www-947.ibm.com/support/entry/portal/docdisplay?lndocid=MIGR-5094622&brandind=5000008
●slow request dos/oom attack
http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2010_01.txt
●JVNDB-2010-002757 ( CVE-2010-0295 | CVE-2010-0295 ) lighttpd におけるサービス運用妨害 (DoS) の脆弱性
http://vrda.jpcert.or.jp/feed/en/JVNiPedia_JVNDB-2010-002757_AD_1.html