The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

06.12.2016 12:47  DoS-уязвимость в mod_http2 из состава http-сервера Apache

В http-сервере Apache выявлена уязвимость (CVE-2016-8740), позволяющая осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти. Проблема вызвана отсутствием ограничений на размер заголовков в модуле mod_http2, что может использоваться для инициирования выделения слишком больших областей памяти при обработке специально оформленных запросов.

Проблема проявляется в выпусках httpd с 2.4.17 по 2.4.23 включительно, только при активации на сервере поддержки протокола HTTP/2 (по умолчанию отключен). Исправление пока доступно только в виде патча. В качестве временной меры защиты можно отключить поддержку HTTP/2 (убрать h2 и h2c из директивы Protocols).

  1. Главная ссылка к новости (http://www.mail-archive.com/an...)
  2. OpenNews: В HTTP-сервере Apache 2.4.23 устранена уязвимость
  3. OpenNews: Увидел свет HTTP-сервер Apache 2.4.20
  4. OpenNews: Доступен http-сервер Apache 2.4.18
  5. OpenNews: Доступен http-сервер Apache 2.4.17 с поддержкой HTTP/2
  6. OpenNews: Релиз новой стабильной ветки http-сервера Apache 2.4
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: httpd, apache
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение RSS
 
  • 1.5, Колхоз Верблюды, 17:18, 06/12/2016 [ответить] [смотреть все]
  • +2 +/
    Юзайте первый Apache и все будет в шоколаде!
     
     
  • 2.6, бедный буратино, 17:50, 06/12/2016 [^] [ответить] [смотреть все]
  • +2 +/
    его уже ДАЖЕ OpenBSD выкинули недавно :)
     
  • 2.13, Аноним, 14:29, 07/12/2016 [^] [ответить] [смотреть все]
  • +/
    А шоколад ли это?...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor