漏洞信息详情
Apache HTTP Server ‘server/util.c’ 输入验证漏洞
- CNNVD编号:CNNVD-201111-182
- 危害等级: 中危
- CVE编号: CVE-2011-4415
- 漏洞类型: 输入验证
- 发布时间: 2011-11-09
- 威胁类型: 本地
- 更新时间: 2011-11-09
- 厂 商: apache
- 漏洞来源:
漏洞简介
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。
Apache HTTP Server 2.0.x版本至2.0.64版本以及2.2.x版本至2.2.21版本中存在漏洞。由于server/util.c的ap_pregsub函数在启用mod_setenvif模块时不能限制环境变量值的大小,本地用户可通过带有特制SetEnvIf指示符的.htaccess文件导致拒绝服务(内存消耗或者空指针解引用)。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://secunia.com/advisories/45793
参考网址
来源: www.halfdog.net
链接:http://www.halfdog.net/Security/2011/ApacheModSetEnvIfIntegerOverflow/
来源: www.halfdog.net
链接:http://www.halfdog.net/Security/2011/ApacheModSetEnvIfIntegerOverflow/DemoExploit.HTML
来源: www.gossamer-threads.com
链接:http://www.gossamer-threads.com/lists/apache/dev/403775
来源:NSFOCUS 名称:19925 链接:http://www.nsfocus.net/vulndb/19925
受影响实体
- Apache Http_server:2.2.21
- Apache Http_server:2.2.20
- Apache Http_server:2.2.19
- Apache Http_server:2.2.14
- Apache Http_server:2.2.18
补丁
暂无
评论