漏洞发现时间:
2017-09-19
漏洞编号:
CVE-2017-9798
危险等级:
中危
受影响软件:
Apache httpd <=2.2.34
Apache httpd 2.4.x <= 2.4.27
漏洞描述:
Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器。
该漏洞与ap_limit_section函数有关,在.htaccess文件中设置Limit指令,或httpd.conf中有某些错误配置,在无效的HTTP方法请求时构造一个损坏的Allow标头会导致内存数据泄露。
来源参考:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9798
专家建议:
应用补丁,请向供应商咨询详情。
厂商补丁:
https://github.com/hannob/optionsbleed
https://github.com/apache/httpd/commit/29afdd2550b3d30a8defece2b95ae81edcf66ac9
https://blog.fuzzing-project.org/uploads/apache-2.2-optionsbleed-backport.patch