当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Apache HTTP Server多个拒绝服务漏洞

     发表日期:2014-03-18 11:24:00

Apache HTTP Server多个拒绝服务漏洞

BugTraq-ID:66303

CVE-ID:CVE-2013-6438,CVE-2014-0098

 

受影响系统:

Apache Group Apache HTTP Server < 2.4.9

详细信息:

 

Apache HTTP Server是开源HTTP服务器。

 

 

 

Apache HTTP Server 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1在实现上存在安全漏洞,可被恶意利用造成拒绝服务。

 

 

 

1、记录截断cookie时,mod_log_config模块存在错误,可被利用造成工作线程崩溃。要成功利用此漏洞需要使用线程化MPM。

 

2、删除前导空格时,mod_dav模块存在边界错误,可被利用通过特制的DAV WRITE请求破坏内存。

 

 

来源:

Rainer M Canavan

参考信息:

http://secunia.com/advisories/57399/

解决办法:

厂商补丁:

 

Apache Group

------------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

 

 

http://httpd.apache.org/

 

http://www.apache.org/dist/httpd/CHANGES_2.4.9

 

http://httpd.apache.org/security/vulnerabilities_24.html