Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞

文章由LinuxBoy分享于2019-04-02 09:04:24热评（169）

Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞

发布日期：2011-08-24
更新日期：2011-08-24

受影响系统：
Apache Group Foundation Apache 2.x
Apache Group Foundation Apache 1.3
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 49303
CVE ID: CVE-2011-3192

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器，可以在大多数电脑操作系统中运行，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。

Apache HTTP Server在处理Range选项生成回应时存在漏洞，远程攻击者可能利用此漏洞通过发送恶意请求导致服务器失去响应，导致拒绝服务。

此漏洞源于Apache HTTP Server在处理Range头选项中包含的大量重叠范围指定时存在的问题，攻击者可通过发送到服务器的特制HTTTP请求耗尽系统资源，导致Apache失去响应，甚至造成操作系统资源耗尽。

<*来源：Kingcope （kingcope@gmx.net）

链接：3C20110824161640.122D387DD@minotaur.apache.org%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110824161640.122D387DD@minotaur.apache.org%3E
https://issues.apache.org/bugzilla/show_bug.cgi?id=51714
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Apache Group
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

www.apache.org

推荐文章：

Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞