发布日期：2008-06-10
更新日期：2008-06-16

受影响系统：

Apache Group Apache 2.2.8
Apache Group Apache 2.0.63

不受影响系统：

Apache Group Apache 2.2.9

描述：

---

BUGTRAQ  ID: 29653
CVE(CAN) ID: CVE-2008-2364

Apache HTTP Server是一款流行的Web服务器。

Apache的mod_proxy_http模块中的ap_proxy_http_process_response()函数没有正确地转发中间响应，如果mod_proxy受骗向客户端发送了大量的中间响应的话，就会耗尽大量内存资源。

<*来源：Ryujiro Shibuya
  
  链接：http://secunia.com/advisories/30621/
        http://www.apache.org/dist/httpd/CHANGES_2.2.9
        http://security.gentoo.org/glsa/glsa-200807-06.xml
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://apache.sunsite.ualberta.ca/httpd/httpd-2.2.9-win32-src.zip
http://apache.sunsite.ualberta.ca/httpd/httpd-2.2.9.tar.gz

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200807-06）以及相应补丁:
GLSA-200807-06：Apache: Denial of Service
链接：http://security.gentoo.org/glsa/glsa-200807-06.xml

所有Apache用户都应升级到最新版本：

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=www-servers/apache-2.2.9"

浏览次数：2971
严重程度：0（网友投票）