Apache服务器 接受不完整的HTTP请求导致安全漏洞
来源:岁月联盟
时间:2009-07-10
Apache Group Apache 2.x
Apache Group Apache 1.x
描述:
Apache HTTP Server是一款流行的Web服务器。
如果远程安全者使用发包工具向Apache服务器发送了不完整的HTTP请求,服务器会打开连接等待接受完整的头,但如果发包工具不再继续发送完整请求而是发送无效头的话,就会一直保持打开的连接。这种安全所造成的影响很严重,因为安全者不需要发送很大的通讯就可以耗尽服务器上的可用连接。也就是说,即使低带宽的用户也可以安全大流量的服务器。
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.apache.org
