发布日期：2014-03-17
更新日期：2014-03-20

受影响系统：

Apache Group Apache HTTP Server < 2.4.9

描述：

---

BUGTRAQ  ID: 66303
CVE(CAN) ID: CVE-2013-6438,CVE-2014-0098

Apache HTTP Server是开源HTTP服务器。

Apache HTTP Server 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1在实现上存在安全漏洞，可被恶意利用造成拒绝服务。

1、记录截断cookie时，mod_log_config模块存在错误，可被利用造成工作线程崩溃。要成功利用此漏洞需要使用线程化MPM。
2、删除前导空格时，mod_dav模块存在边界错误，可被利用通过特制的DAV WRITE请求破坏内存。

<*来源：Rainer M Canavan
        Ning Zhang
        Amin Tora
  
  链接：http://secunia.com/advisories/57399/
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://httpd.apache.org/
http://www.apache.org/dist/httpd/CHANGES_2.4.9
http://httpd.apache.org/security/vulnerabilities_24.html

浏览次数：3325
严重程度：0（网友投票）