发布日期：2007-08-30

更新日期：2007-08-31

受影响系统：

Apache Group Apache 2.2.x <= 2.2.4

Apache Group Apache 2.0.x <= 2.0.59

不受影响系统：

Apache Group Apache 2.2.6-dev

Apache Group Apache 2.0.61-dev

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25489

CVE(CAN) ID: CVE-2007-3847

Apache HTTP Server是一款流行的Web服务器。

Apache的mod_proxy模块实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制服务器。

Apache的proxy_util.c文件（mod_proxy模块）中的ap_proxy_date_canon()函数没有正确处理数据头，如果服务器使用了多线程处理模块（MPM）且配置了逆向或转发代理，则向该服务器提交了恶意请求就会触发越界读取缓冲区，导致处理该请求的Apache子进程崩溃。

<*来源：niq （niq@apache.org）

链接：http://httpd.apache.org/security/vulnerabilities_22.html

http://secunia.com/advisories/26636/

http://marc.info/?l=apache-cvs&m=118592992309395&w=2

http://httpd.apache.org/security/vulnerabilities_20.html

*>

建议：

--------------------------------------------------------------------------------

厂商补丁：

Apache Group

------------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.apache.org(责任编辑：李磊)