漏洞报告:mod_proxy_http 超时检测缺陷
星期六, 06/12/2010 - 09:22 — wdlinux
[我的Linux,让Linux更易用] CentOS精简版,集成lamp,lnmp版,wdcp,wdcdn,wddns,一键安装包,集群负载均衡LVS,智能DNS/CDN,性能优化
本文连接:http://www.wdlinux.cn/old/node/26
近日,Apache HTTP服务器的 mod_proxy_http 模块爆出连接超时检测的漏洞(CVE-2010-2068),该漏洞级别定义为“重要”。
漏洞描述:
mod_proxy_http 的超时检测漏洞将会导致回应内容发送到不同的请求上面,相当于是请求了URL1,其实看到的是URL2的内容。
该漏洞只影响包括 Netware、Windows 和 OS2 平台上的 httpd, 版本涉及 2.2.9 到 2.2.15 以及 2.3.4-alpha 版本,早期的版本不存在此问题。
可以采取以下几种办法来避免漏洞:
不要加载 mod_proxy_http 模块;
不要使用 ProxySet 和 ProxyPass 可选参数来配置和启用任何 http proxy workder 池
使用下面配置参数直接禁用 mod_proxy_http 的重用后端连接管道
SetEnv proxy-nokeepalive 1
使用最新补丁版本来替换 mod_proxy_http.so
请看:http://www.apache.org/dist/httpd/patches/apply_to_2.2.15/ 或者 http://www.apache.org/dist/httpd/patches/apply_to_2.3.5/,以及二进制版:http://www.apache.org/dist/httpd/binaries/
升级到 httpd 2.2.16 或者更高版本(不过该版本尚未发布)
http://httpd.apache.org/download.cgi
[我的Linux,让Linux更易用] CentOS精简版,集成lamp,lnmp版,wdcp,wdcdn,wddns,一键安装包,集群负载均衡LVS,智能DNS/CDN,性能优化
本文连接:http://www.wdlinux.cn/old/node/26
最新评论
5 年 20 周之前
5 年 36 周之前
5 年 39 周之前
5 年 50 周之前
6 年 4 周之前
6 年 21 周之前
6 年 25 周之前
6 年 25 周之前
6 年 26 周之前
6 年 28 周之前