当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Apache HTTP Server \'mod_lua\'模块拒绝服务漏洞(CVE-2015

     发表日期:2015-03-26 11:24:00

Apache HTTP Server \'mod_lua\'模块拒绝服务漏洞(CVE-2015-0228)
BugTraq-ID:73041
CVE-ID:CVE-2015-0228
发布日期:2015-03-11
更新日期:2015-03-23
受影响系统:
Apache Group HTTP Server 〈= 2.4.12
详细信息:
 
Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器,可以在大多数电脑操作系统中运行
 
 
 
Apache HTTP Server 2.4.13之前版本存在安全漏洞,此漏洞位于mod_lua模块中lua_request.c的lua_websocket_read函数中,在Lua脚本调用了wsupgrade函数后,远程攻击者发送精心构造的WebSocket Ping帧,利用此漏洞可造成子进程崩溃,导致拒绝服务。
 
 
来源:
vendor
解决办法:
厂商补丁:
 
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
 
 
http://svn.apache.org/repos/asf/httpd/httpd/branches/2.4.x/CHANGES
 
https://github.com/apache/httpd/commit/643f0fcf3b8ab09a68f0ecd2aa37aafeda3e63ef