Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞

发布日期:2011-08-24
更新日期:2011-08-24

受影响系统:
Apache Group Foundation Apache 2.x
Apache Group Foundation Apache 1.3
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 49303
CVE ID: CVE-2011-3192

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器,可以在大多数电脑操作系统中运行,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。

Apache HTTP Server在处理Range选项生成回应时存在漏洞,远程攻击者可能利用此漏洞通过发送恶意请求导致服务器失去响应,导致拒绝服务。

此漏洞源于Apache HTTP Server在处理Range头选项中包含的大量重叠范围指定时存在的问题,攻击者可通过发送到服务器的特制HTTTP请求耗尽系统资源,导致Apache失去响应,甚至造成操作系统资源耗尽。

<*来源:Kingcope (kingcope@gmx.net
 
  链接:3C20110824161640.122D387DD@minotaur.apache.org%3E" target="_blank">%3C20110824161640.122D387DD@minotaur.apache.org%3E
        https://issues.apache.org/bugzilla/show_bug.cgi?id=51714
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Apache Group
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwfpps.html