Apache mod_proxy_ftp模块空指针引用拒绝服务漏洞
来源:岁月联盟
时间:2009-11-16
Apache Group Apache 2.2.x漏洞描述:
BUGTRAQ ID: 36260
CVE ID: CVE-2009-3094
Apache HTTP Server是一款流行的Web服务器。
Apache的mod_proxy_ftp模块中modules/proxy/proxy_ftp.c文件的ap_proxy_ftp_handler函数中存在空指针引用漏洞,正在被代理的恶意FTP服务器可以通过发送特制的EPSV或PASV命令回复导致httpd子进程崩溃,造成有限的拒绝服务。<*参考
Evgeny Legerov (aland@freeradius.org)
链接:http://www-01.ibm.com/support/docview.wss?uid=swg1PK96858
https://www.redhat.com/support/errata/RHSA-2009-1580.html
https://www.redhat.com/support/errata/RHSA-2009-1579.html
*>
SEBUG安全建议:
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.apache.org/dist/httpd/httpd-2.2.14.tar.gz
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2009:1579-02)以及相应补丁:
RHSA-2009:1579-02:Moderate: httpd security update
链接:https://www.redhat.com/support/errata/RHSA-2009-1579.html
