全部产品
云市场
云游戏

【漏洞公告】CVE-2017-9798:“Optionsbleed”-Apache HTTP OPTIONS方法内存泄露漏洞

更新时间:2018-03-08 17:04:04

2017年9月18日,Apache被爆存在高安全风险漏洞,漏洞CVE编号为CVE-2017-9798。该漏洞发现于Apache HTTP软件2.2.34/2.4.27版本,由Limit指令的函数ap_limit_section触发。当网站管理员尝试使用无效的HTTP方法进行 “Limit” 指令HTTP请求时,会导致内存信息泄露。

漏洞详情见下文。


漏洞编号

CVE-2017-9798

漏洞名称

“Optionsbleed”-Apache HTTP OPTIONS方法内存泄露漏洞

官方评级

中危

漏洞描述

在Apache HTTP 软件 2.2.34/2.4.27版本中,”Limit” 指令的函数ap_limit_section存在漏洞,在无效的HTTP方法请求时会导致内存数据泄露。

漏洞利用条件和方式

远程利用

漏洞影响范围

Apache httpd 2.2.34/2.4.27之前版本

漏洞检测

开发人员检查是否使用受影响范围内的Apache版本。

漏洞修复建议(或缓解措施)

各Linux系统发行版本厂商已陆续发布新的版本,建议您升级到最新版本。

情报来源

[1]. https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html
[2]. Debian:https://security-tracker.debian.org/tracker/CVE-2017-9798
[3]. Ubuntu:https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-9798.html