Apache HTTP Server 'protocol.c'远程拒绝服务漏洞
发布日期:2015-04-15
更新日期:2015-04-21
受影响系统:
Apache Group HTTP Server 2.2.29
描述:
BUGTRAQ ID: 74158
Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器。
Apache HTTP Server 2.2.29/2.4.12在实现上存在空指针间接引用,成功利用后可造成受影响应用崩溃。
<*来源:Nicholas Lemonias
链接:
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Nicholas Lemonias ()提供了如下测试方法:
(..\httpd-2.2.29\server\protocol.c:1286)
(..\httpd-2.4.12\server\protocol.c:1286)
...
AP_CORE_DECLARE_NONSTD(apr_status_t) ap_content_length_filter(
ap_filter_t *f,
apr_bucket_brigade *b)
{
request_rec *r = f->r;
struct content_length_ctx *ctx;
apr_bucket *e;
int eos = 0;
apr_read_type_e eblock = APR_NONBLOCK_READ;
ctx = f->ctx;
if (!ctx) {
f->ctx = ctx = apr_palloc(r->pool, sizeof(*ctx));
ctx->data_sent = 0;
}
建议:
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: