安全研究
安全漏洞
Apache HTTP服务程序远程拒绝服务攻击漏洞
发布日期:2003-04-02
更新日期:2003-04-10
受影响系统:Apache Software Foundation Apache 2.0a9
Apache Software Foundation Apache 2.0.44
Apache Software Foundation Apache 2.0.43
Apache Software Foundation Apache 2.0.42
Apache Software Foundation Apache 2.0.41
Apache Software Foundation Apache 2.0.39
Apache Software Foundation Apache 2.0.38
Apache Software Foundation Apache 2.0.37
Apache Software Foundation Apache 2.0.36
Apache Software Foundation Apache 2.0.35
Apache Software Foundation Apache 2.0.32
Apache Software Foundation Apache 2.0.28
Apache Software Foundation Apache 2.0.40
- RedHat Linux 8.0
不受影响系统:Apache Software Foundation Apache 2.0.45
描述:
BUGTRAQ ID:
7254
CVE(CAN) ID:
CVE-2003-0132
Apache HTTP服务器是流行的开放源代码WEB服务器程序,可使用在Unix和Windows操作系统下。
Apache HTTP 2.X版本存在内存泄露问题,远程攻击者可以利用这个漏洞对目标服务程序进行拒绝服务攻击。
HTTP服务程序在处理包含连续换行字符的超大块请求时,会对每个换行符分配八个字节的缓冲区,并且没有分配的上限,因此攻击者可以通过提交包含这些字符的多个请求给服务器程序,可大量消耗系统资源,导致停止对正常服务请求的处理。
<*来源:iDEFENSE Labs (
labs@idefense.com)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=104982175321731&w=2
*>
建议:
厂商补丁:
Apache Software Foundation
--------------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载升级到Apache HTTP Server 2.0.45版本:
http://httpd.apache.org/download.cgi浏览次数:3741
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |