漏洞报告:mod_proxy_http 超时检测缺陷

近日,Apache HTTP服务器的 mod_proxy_http 模块爆出连接超时检测的漏洞(CVE-2010-2068),该漏洞级别定义为“重要”。

漏洞描述:

mod_proxy_http 的超时检测漏洞将会导致回应内容发送到不同的请求上面,相当于是请求了URL1,其实看到的是URL2的内容。

该漏洞只影响包括 Netware、Windows 和 OS2 平台上的 httpd, 版本涉及 2.2.9 到 2.2.15 以及 2.3.4-alpha 版本,早期的版本不存在此问题。

可以采取以下几种办法来避免漏洞:

不要加载 mod_proxy_http 模块;
不要使用 ProxySet 和 ProxyPass 可选参数来配置和启用任何 http proxy workder 池
使用下面配置参数直接禁用 mod_proxy_http 的重用后端连接管道
SetEnv proxy-nokeepalive 1

使用最新补丁版本来替换 mod_proxy_http.so
请看:http://www.apache.org/dist/httpd/patches/apply_to_2.2.15/ 或者 http://www.apache.org/dist/httpd/patches/apply_to_2.3.5/,以及二进制版:http://www.apache.org/dist/httpd/binaries/

升级到 httpd 2.2.16 或者更高版本(不过该版本尚未发布)
http://httpd.apache.org/download.cgi

欢迎转载,但请保留此信息
[我的Linux,让Linux更易用] CentOS精简版,集成lamp,lnmp版,wdcp,wdcdn,wddns,一键安装包,集群负载均衡LVS,智能DNS/CDN,性能优化
本文连接:http://wdlinux.cn/old/node/26