阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3789阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Apache HTTPD DoS 0Day漏洞(CVE-2016-8740)

级别: 论坛版主
发帖
241
云币
478
xG9Sk  
Rff F:,b  
2016年12月5日(当地时间),seclists.org网站发布了一条关于Apache网页服务拒绝服务漏洞的消息,漏洞编号为CVE-2016-8740。 ']r8q %  
漏洞详情如下: s/E|Z1pg3  
                        
AcC &Q:g  
漏洞编号:CVE-2016-8740 FACw;/rW  
Z0F~?  
`*C=R  _  
漏洞描述: gc9R;B1  
该漏洞存在于mod_http2模块中,这是从Apache HTTPD 2.4.17版本开始引入的关于HTTP/2协议的模块。然而该模块在默认情况下不被编译,且默认不启用,该漏洞只影响使用HTTP/2协议的用户。在使用HTTP/2协议的服务器上,攻击者可以通过发送精心构造的请求,导致服务器内存耗尽,造成拒绝服务。 Y`;}w}EcgR  
mod_http2模块在默认条件下不编译和启用。 c0qp-=^&.  
\^x{NV@v42  
KK){/I=z  
漏洞危害: p+VU:%.t  
黑客通过利用漏洞可以实现远程命令执行,严重情况下可能会导致业务中断。 UB/> Ro  
M:S-%aQ_<y  
l":W@R  
漏洞利用条件: N3%X>*'  
可以实现远程利用。 mdj%zJ8/  
lQn" 6o1  
~}Xus?e  
漏洞影响范围: Lc*>sOm9  
Apache HTTPD 2.4.17-2.4.23 %FO{:@CH  
,T$ts  
Hiyg1  
漏洞测试方案: N!ihj:,  
暂无 Yuw:W:wY  
s,r|p@^  
"gy&eR>  
漏洞修复建议(或缓解措施): 3E wdu  
1.紧急措施: %|e)s_%XE  
禁用http2.0协议 6=n|Ha  
2.推荐方案  @_f^AQ  
目前只有2.4.23 版本开发了补丁,将在下一个版本发布时包含在内。 46]BRL2 G  
g"748LY>=p  
PP{ 9Y Vr  
参考信息 YzjRD:  
PS" rXaY  
[1].http://seclists.org/oss-sec/2016/q4/595 tTBDb  
m"rht:v5  
?fH1?Z\'K  
5IUdA?  
!#pc@(rE  
8Azh&c  
UhqTn$=fb  
<=p>0L  
3F]Dh^IR9  
l6#Y}<tq  
@]q^O MLY  
F oC $X  
vD@|]@gq  
i=\)[;U  
MJ ch Z  
xI{fd1  
FWJ**J  
\_O#M   
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)