阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3780阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Apache HTTPD DoS 0Day漏洞(CVE-2016-8740)

级别: 论坛版主
发帖
241
云币
478
3E<aiGU  
2j8Cv:{Nn%  
2016年12月5日(当地时间),seclists.org网站发布了一条关于Apache网页服务拒绝服务漏洞的消息,漏洞编号为CVE-2016-8740。 'v'` F*6  
漏洞详情如下: 2UU 2Vm_6  
                        
(oLpnjJ(,  
漏洞编号:CVE-2016-8740 %'{V%IXQ  
YH ETI~'j.  
s~'9Hv9  
漏洞描述: -]Q3/"Q  
该漏洞存在于mod_http2模块中,这是从Apache HTTPD 2.4.17版本开始引入的关于HTTP/2协议的模块。然而该模块在默认情况下不被编译,且默认不启用,该漏洞只影响使用HTTP/2协议的用户。在使用HTTP/2协议的服务器上,攻击者可以通过发送精心构造的请求,导致服务器内存耗尽,造成拒绝服务。 **T:eI+  
mod_http2模块在默认条件下不编译和启用。 Jq# [uX  
,(j>)g2Ob  
nnfY$&3A  
漏洞危害: t *o7,  
黑客通过利用漏洞可以实现远程命令执行,严重情况下可能会导致业务中断。 ^D9 /  
e.h~[^zg  
h^%GE;N  
漏洞利用条件: S8*^ss>?^R  
可以实现远程利用。 $|Q".dD  
Ezi' 2Sc  
qzz[y#q(  
漏洞影响范围: |2qR^Hd&5  
Apache HTTPD 2.4.17-2.4.23 B1y<.1k  
`ifb<T  
H!Wis3S3G  
漏洞测试方案: W=~id"XtJ  
暂无  G5!|y#T  
40 A&#u9o  
Mx^y>\X)v  
漏洞修复建议(或缓解措施): =ZG<BG_  
1.紧急措施: 5_v5  
禁用http2.0协议 'n>K^rA  
2.推荐方案 u06tDJ[  
目前只有2.4.23 版本开发了补丁,将在下一个版本发布时包含在内。 1W*V2`0>  
\^yXc*C  
lrCm9Oy  
参考信息 s;s0}Td_1  
,(6)ghr  
[1].http://seclists.org/oss-sec/2016/q4/595 T0g0jr{  
S<V-ZV&_:U  
V:(y*tFA  
a/#+92C  
}(m1ql  
hl`u"?rg  
7@JjjV  
S3ErH,XB.  
yXkt:O,i  
 "";=DH  
iM8sX B  
'CgV0&@  
$Ru&>D#stK  
 1y 7y0V  
Pv~:gP  
z23#G>I&  
5~QhX22  
&0s*P G  
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)