Apache mod_proxy模块远程拒绝服务漏洞
发布日期:2007-08-30
更新日期:2007-08-31
受影响系统:
Apache Group Apache 2.2.x <= 2.2.4
Apache Group Apache 2.0.x <= 2.0.59
不受影响系统:
Apache Group Apache 2.2.6-dev
Apache Group Apache 2.0.61-dev
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 25489
CVE(CAN) ID: CVE-2007-3847
Apache HTTP Server是一款流行的Web服务器。
Apache的mod_proxy模块实现上存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制服务器。
Apache的proxy_util.c文件(mod_proxy模块)中的ap_proxy_date_canon()函数没有正确处理数据头,如果服务器使用了多线程处理模块(MPM)且配置了逆向或转发代理,则向该服务器提交了恶意请求就会触发越界读取缓冲区,导致处理该请求的Apache子进程崩溃。
<*来源:niq (niq@apache.org)
链接:http://httpd.apache.org/security/vulnerabilities_22.html
http://secunia.com/advisories/26636/
http://marc.info/?l=apache-cvs&m=118592992309395&w=2
http://httpd.apache.org/security/vulnerabilities_20.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.apache.org(责任编辑:李磊)
最新相关文章发表评论