发布日期：2016-07-04
更新日期：2016-07-06

受影响系统：

Apache Group HTTP Server 2.4.18-2.4.20

描述：

---

CVE(CAN) ID: CVE-2016-4979

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器。

Apache HTTPD Web Server (2.4.18-2.4.20）对通过HTTP/2进行的资源访问，未能正确验证X509客户端证书。这可使第三方无需凭证，即可访问web服务器资源，导致未授权信息泄露。

<*来源：Erki Aring
  
  链接：http://mail-archives.apache.org/mod_mbox/httpd-users/201607.mbox/CVE-2016-4979-68338
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在配置文件中从协议行删除h2及h2c，以禁用HTTP/2。最终应为：Protocols http/1.1

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载2.4.23及更高版本：

http://httpd.apache.org/

浏览次数：2648
严重程度：0（网友投票）