Apache HTTPD信息泄露漏洞(CVE

Apache HTTPD信息泄露漏洞(CVE-2016-4979)


发布日期:2016-07-04
更新日期:2016-07-06

受影响系统:

Apache Group HTTP Server 2.4.18-2.4.20

描述:

CVE(CAN) ID: CVE-2016-4979

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器。

Apache HTTPD Web Server (2.4.18-2.4.20)对通过HTTP/2进行的资源访问,未能正确验证X509客户端证书。这可使第三方无需凭证,即可访问web服务器资源,导致未授权信息泄露。

<*来源:Erki Aring
 
  链接:
*>

建议:

临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 在配置文件中从协议行删除h2及h2c,以禁用HTTP/2。最终应为:Protocols http/1.1

厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载2.4.23及更高版本:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/4e5f01e0f1891db1082e4924568cc735.html