Apache mod_proxy反向代理拒绝服务漏洞

2009-07-07T00:00:00
ID SSV:11762
Type seebug
Reporter Root
Modified 2009-07-07T00:00:00

Description

BUGTRAQ ID: 35565 CVE(CAN) ID: CVE-2009-1890

Apache HTTP Server是一款流行的Web服务器。

如果配置了反向代理的话,在Apache HTTP Server的mod_proxy模块中,mod_proxy_http.c的stream_reqbody_cl函数没有正确地处理数量超过了 Content-Length值的流数据。远程攻击者可以通过向受影响的代理进程发送特制的请求导致耗尽大量的CPU资源。

Apache 2.2.x 厂商补丁:

Apache Group

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://svn.apache.org/viewvc/httpd/httpd/trunk/CHANGES?r1=790587&r2=790586&pathrev=790587