【漏洞公告】Apache HTTPD DoS 0Day漏洞(CVE-2016-8740)
2016年12月5日(当地时间),seclists.org网站发布了一条关于Apache网页服务器拒绝服务漏洞的消息,漏洞编号为CVE-2016-8740。
漏洞详情如下:
漏洞编号:CVE-2016-8740
漏洞描述:
该漏洞存在于mod_http2模块中,这是从Apache HTTPD 2.4.17版本开始引入的关于HTTP/2协议的模块。然而该模块在默认情况下不被编译,且默认不启用,该漏洞只影响使用HTTP/2协议的用户。在使用HTTP/2协议的服务器上,攻击者可以通过发送精心构造的请求,导致服务器内存耗尽,造成拒绝服务。
mod_http2模块在默认条件下不编译和启用。
漏洞危害:
黑客通过利用漏洞可以实现远程命令执行,严重情况下可能会导致业务中断。
漏洞利用条件:
可以实现远程利用。
漏洞影响范围:
Apache HTTPD 2.4.17-2.4.23
漏洞测试方案:
暂无
漏洞修复建议(或缓解措施):
1.紧急措施:
禁用http2.0协议
2. 推荐方案:
目前只有2.4.23 版本开发了补丁,将在下一个版本发布时包含在内。
参考信息:
[1]. http://seclists.org/oss-sec/2016/q4/595
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
针对您提到的Apache HTTP服务器CVE-2016-8740拒绝服务漏洞,确实是一个较为老旧的安全问题,影响了特定版本的Apache HTTPD服务器。如果您正在使用或管理受影响的Apache HTTPD服务,以下是一些建议和解决方案,结合阿里云的产品和服务来帮助您更好地应对这一安全风险:
紧急措施:禁用HTTP/2.0协议
- 修改配置文件:编辑Apache的主配置文件(通常为
httpd.conf),找到与HTTP/2相关的设置,注释掉或者改为仅支持HTTP/1.1。例如:#Protocols h2 h2c http/1.1 Protocols http/1.1这将临时禁用HTTP/2支持,直到您应用更持久的修复。
推荐方案:升级至安全版本
-
检查当前版本:首先确认您的Apache HTTPD服务器当前运行的版本是否在受影响范围内(2.4.17至2.4.23)。
-
升级Apache HTTPD:如果您的版本受到影响,建议升级到最新稳定版或至少是包含了该漏洞修复的版本。您可以访问Apache HTTP Server官方网站获取最新的发行版,并按照官方指南进行升级操作。
使用阿里云服务增强安全性
-
云盾安骑士:部署阿里云的云盾安骑士,它能自动检测您的服务器是否存在已知漏洞,包括Apache HTTPD等关键软件的漏洞,并提供修复建议或一键修复功能,帮助您快速响应此类安全威胁。
-
镜像更新:如果您使用的是阿里云ECS实例,确保您的基础镜像是最新的,或基于最新的安全镜像重新部署服务。阿里云会定期更新其市场中的镜像,以包含重要的安全补丁。
-
WAF服务:考虑使用阿里云Web应用防火墙(WAF),它可以作为额外的一层防护,帮助过滤恶意请求,减少直接对Apache服务器的攻击。
-
云监控与告警:配置阿里云云监控,对服务器资源使用情况进行实时监控,设置内存使用率等关键指标的告警策略,以便在遭受DoS攻击时能迅速响应。
通过上述步骤,您可以有效缓解CVE-2016-8740带来的风险,并提升整体系统的安全水平。记得在进行任何配置更改或升级后,进行充分的测试,以确保服务的正常运行。
