Apache HTTPD信息泄露漏洞(CVE-2016-4979)
发布日期:2016-07-04
更新日期:2016-07-06
受影响系统:
描述:
CVE(CAN) ID: CVE-2016-4979
Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器。
Apache HTTPD Web Server (2.4.18-2.4.20)对通过HTTP/2进行的资源访问,未能正确验证X509客户端证书。这可使第三方无需凭证,即可访问web服务器资源,导致未授权信息泄露。
<*来源:Erki Aring
链接:
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 在配置文件中从协议行删除h2及h2c,以禁用HTTP/2。最终应为:Protocols http/1.1
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载2.4.23及更高版本: