Apache 爆拒绝服务漏洞，补丁48小时内发布

资讯频道 → 企业架构

2顶
0踩

2011-08-25 16:04 by 资深编辑 luiang1018 评论(1) 有6379人浏览

Apache 漏洞拒绝服务

声明：ITeye资讯文章的版权属于ITeye网站所有，严禁任何网站转载本文，否则必将追究法律责任！

Apache项目日前发布警告：发现一个Apache http server的拒绝服务（DoS）漏洞，该漏洞可让攻击者轻松地让Apache软件拒绝服务。Apache指出，攻击工具正在坊间广泛流传，并且已经留意到一些活跃分子。

漏洞影响到了Apache的所有版本。该攻击能够在远程发动，并且使Apache HTTP服务器占用大量的内存和CPU资源，而导致无法处理正常的请求。默认安装的Apache更容易受此攻击。

目前尚无相应的补丁或新版本。Apache预计在48小时内将进行修复，发布补丁或是新版本。需要注意的是，该补丁或新版本将针对Apache 2.0及2.2，Apache 1.3则建议弃用。

在完整补丁发布前，Apache给出了以下几个应对措施：

1．启用SetEnvlf和mod_rewrite检测访问中是否有大量的Range，若有的话，则忽略该Range请求头或直接拒绝请求。
Option 1：（适用于Apache 2.0、2.2）

          # Drop the Range header when more than 5 ranges.
          # CVE-2011-3192
          SetEnvIf Range (,.*?){5,} bad-range=1
          RequestHeader unset Range env=bad-range

          # optional logging.
          CustomLog logs/range-CVE-2011-3192.log common env=bad-range

Option 2：（也适用于Apache 1.3）

          # Reject request when more than 5 ranges in the Range: header.
          # CVE-2011-3192
          #
          RewriteEngine on
          RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
          RewriteRule .* - [F]

2．限制访问字段大小为几百字节。

 LimitRequestFieldSize 200

3．使用mod_header来彻底禁止Range header的使用。

RequestHeader unset Range。

4．部署一个Range header计数模块来进行临时的监测。
http://people.apache.org/~dirkx/mod_rangecnt.c

5．及时关注并安装下面链接中发布的补丁：
http://mail-archives.apache.org/mod_mbox/httpd-dev/201108...

更多详情查看：Range header DoS vulnerability Apache HTTPD 1.3/2.x。

查看图片附件

分享到：

2
顶

0
踩

评论共 1 条请登录后发表评论

1 楼 java_user 2011-08-29 12:23

天朝也是利用这个漏洞攻击吗

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

ThinkPHP关于session的操作方法汇总

主要介绍了ThinkPHP关于session的操作方法,有助于读者加深对ThinkPHP操作session的认识,需要的朋友可以参考下

hibernate关于session的关闭实例解析

主要介绍了hibernate关于session的关闭实例解析，分享了相关代码示例，小编觉得还是挺不错的，具有一定借鉴价值，需要的朋友可以参考下

关于session和cookie的简单理解

下面小编就为大家带来一篇关于session和cookie的简单理解。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧

浅析Django下关于session的使用

主要介绍了Django下关于session的使用,本文给大家介绍的非常详细，具有一定的参考借鉴价值，需要的朋友可以参考下

关于session丢失问题

博文链接：https://laorer.iteye.com/blog/41264

关于session的自定义方法

总结梳理的session自定义字段的几个说明，自己手边也在使用。

.net 和IIS7.5关于Session超时的设置

在web.config设置sessionState 或者类文件里设置Session.Timeout，在IIS里访问时每次都是达不到时间就超时,原因是因为在IIS中设置了 1. web.config中设置Session过期时间方法, 2. II7.5 界面图形设置

Nginx+Tomcat关于Session的管理的实现

本篇文章主要介绍了Nginx+Tomcat关于Session的管理，通过实例的方式循序渐进的介绍了几种管理session的方式。具有一定的参考价值，感兴趣的小伙伴们可以参考一下

在django中,关于session的通用设置方法

今天小编就为大家分享一篇在django中,关于session的通用设置方法，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧

php 立即释放session 去除其缓存,ThinkPHP关于session无法清除的一个小问题

首先，问题是这样的，接触ThinkPHP没多久，在做用户登录以及注销的时候遇到了一个小问题，那就是用户可以正常登陆，但是点击注销链接后，理论上应该是session被清空，但是却仍然还是自动跳转到了首页(登录页判断了...

vue+express关于session鉴权的小项目.zip

关于session在PHP5的配置文件中的详细设置参数说明

处理session存取的模式（预设：files） session.save_handler = files ;session档案存放路径（预设：/tmp） session.save_path = /tmp ;session使用cookie的功能（预设：启动 1） session.use_cookies = 1 ;session...

Java关于session的详细解释

Java关于session的详细解释,TXT文件，仅供学习参考，如用于商业用途，后果自负。

关于session

Web中的Session指的就是用户在浏览某个网站时，从进入网站到浏览器关闭所经过的这段时间，也就是用户浏览这个网站所花费的时间。因此从上述的定义中我们可以看到，Session实际上是一个特定的时间概念。需要注意的...

servlet中关于session的理解

session及其跟踪机制cookies,URlRwriting Session对象用来解决客户端发送多个请求时来用户请求信息的存储问题

(整理)平压印刷机运动方案和主要机构设计课程设计说明书.doc

裂缝检测数据集，支持yolo v12格式的标注，1673张原始训练集图片，正确识别率99.4%

裂缝检测数据集，支持yolo v12格式的标注，1673张原始训练集图片，正确识别率99.4% 图片详情可查看博文：https://backend.blog.csdn.net/article/details/147232357

苯正丁醇化工原理课程设计说明书.pdf

黑马程序员MySQL-进阶篇资料### MySQL 进阶技术总结. 存储

内容概要：本文档《MySQL-进阶篇.pdf》深入探讨了MySQL数据库的高级特性，涵盖了存储引擎、索引、SQL性能优化、视图、存储过程、触发器、锁机制、InnoDB引擎内部原理以及MySQL管理工具等多个方面。首先，文档详细介绍了MySQL的存储引擎体系结构，特别是InnoDB、MyISAM和Memory存储引擎的特点与应用场景。其次，围绕索引展开了详细的讨论，包括B+Tree、Hash索引结构，索引创建、使用原则及优化技巧。接着，文档阐述了SQL语句的性能分析方法，如使用`EXPLAIN`、慢查询日志和`profile`工具。此外，还讲解了视图、存储过程、触发器等高级功能，以及不同类型的锁机制对并发控制的重要性。最后，文档深入分析了InnoDB引擎的事务处理机制，包括redo log、undo log和MVCC的实现原理，并介绍了常用的MySQL管理工具及其使用方法。适用人群：具备一定数据库基础知识，尤其是MySQL使用经验的研发人员和技术爱好者。使用场景及目标： 1. 深入理解MySQL存储引擎的工作原理及其选择依据。 2. 掌握索引的设计与优化技巧，提升查询性能。 3. 学习如何通过各种工具和方法进行SQL性能分析与优化。 4.

高二英语优秀作文Myidealjob.docx

2顶0踩