• slider image 51
  • slider image 52
:::
管理員 - 資訊室 | 2016-08-02 | 點閱數: 4257

[內容說明:]

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201608-0008
Apache伺服器是Apache軟體基金會旗下的一款Web伺服器,2.4.23(含)前的版本所內建之httpd/mod_fcgid等模組,其HTTP_PROXY環境變數未能有效過濾客戶端請求,造成HTTP_PROXY的變數內容,可被攻擊者發送的變數內容給覆蓋掉,造成攻擊者可利用此漏洞遠端執行中間人攻擊,以及將目標的HTTP流量重新導向至任意的伺服器。
請檢視是否安裝受影響之Apache伺服器,並儘速參考官方網頁所提供的臨時性解決方案進行修正。

 
[影響平台:]
Apache伺服器2.4.23(含)前的版本

 
[建議措施:]
請於已安裝Apache伺服器之電腦,使用「httpd -v」指令確認目前所使用之Apache版本,如所使用之Apache伺服器為2.4.23(含)前的版本,請儘速依官方網頁(https://www.apache.org/security/asf-httpoxy-response.txt)所發布之臨時性解決方案進行修正,而現階段因官方尚未正式釋出修正後的版本,所以仍請密切注意Apache官方網頁(http://httpd.apache.org/)的更新訊息。

[參考資料:]

 
1. https://httpoxy.org/ 2. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5387 3. https://github.com/apache/httpd/commit ... 6ce15018d304225c427973c26
網友個人意見,不代表本站立場,對於發言內容,由發表者自負責任。
發表者
樹狀展開
:::

Dr.eye 英漢字典

查單字

計數器

今天: 2262226222622262
昨天: 2424242424242424
總計: 1534726153472615347261534726153472615347261534726