发布日期：2019-06-12
更新日期：2019-06-18

受影响系统：

Apache Apache 2.4.38
Apache Apache 2.4.37
Apache Apache 2.4.35
Apache Apache 2.4.34
Apache Apache 2.4.33
Apache Apache 2.4.30
Apache Apache 2.4.29
Apache Apache 2.4.28
Apache Apache 2.4.27
Apache Apache 2.4.26
Apache Apache 2.4.25
Apache Apache 2.4.23
Apache Apache 2.4.20
Apache Apache 2.4.18

不受影响系统：

Apache Apache 2.4.39

描述：

---

BUGTRAQ  ID: 107669
CVE(CAN) ID: CVE-2019-0196

Apache httpd是世界上最受欢迎的Web服务器，运行着全球所有网站的一半以上。它运行在每个现代操作系统上，并且包含许多模块 - 包括基本发行版和第三方模块 - 为每种类型的网站提供广泛的可选功能。

Apache HTTP Server 2.4.17到2.4.38中发现了一个漏洞。使用模糊网络输入，可以在确定请求的方法时对http / 2请求进行处理，以便在字符串比较中访问释放的内存，从而错误地处理请求。

成功的攻击可能允许攻击者绕过某些安全限制并执行未经授权的操作; 这可能有助于发动进一步的攻击。

<*来源：Craig Young （@CraigTweets）
  
  链接：https://httpd.apache.org/security/vulnerabilities_24.html
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2019-0196）以及相应补丁:
CVE-2019-0196：Apache HTTP Server Vulnerabilities
链接：https://httpd.apache.org/security/vulnerabilities_24.html

补丁下载：

浏览次数：1642
严重程度：0（网友投票）