关于Apache HTTPD 2.2.15的部分漏洞修复建议

最新推荐文章于 2025-07-03 01:03:04 发布
最新推荐文章于 2025-07-03 01:03:04 发布
阅读量1.1w 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: 系统运维 apache-httpd-server 文章标签: apache 目录遍历漏洞 畸形Range漏洞 HTTP慢连接漏洞 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Michael753951/article/details/78861876
本文介绍了如何修复Apache HTTP Server的畸形Range和Range-Request选项处理远程拒绝服务漏洞、目录遍历漏洞以及HTTP慢连接拒绝服务攻击漏洞。提供了三种修复方式,包括升级Apache版本、应用补丁和修改httpd.conf配置。同时,给出了针对目录遍历漏洞的解决步骤,以及利用mod_reqtimeout和mod_qos模块进行防护的详细配置建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

龙云尧个人博客,转载请注明出处。

优快云地址:http://blog.youkuaiyun.com/Michael753951/article/details/78861876

个人blog地址:http://yaoyl.cn/guan-yu-apache-httpd-2-2-15-de-bu-fen-lou-dong-xiu-fu-jian-yi/

修复Apache HTTP Server畸形Range和Range-Request选项处理远程拒绝服务漏洞

该漏洞有如下几种修补方法

方式1:

升级Apache httpd至2.2.21及以上版本

方式2:

可以从官网下载补丁包,重新打包编译Apache。

方式3:

修改httpd.conf文件(一般位于/usr/local/apache2/conf/httpd.conf,具体视安装Apache时的配置而定),相关配置参考Apache官方关于该漏洞的修复建议,(绿盟也有对官方建议的中文翻译 ,不过翻译并不准确,不建议参考),这里使用官方建议的修复方式2

Step1. 引入mod_rewrite和mod_headers模块,这里去掉两个模块的默认的注释即可

引入mod_rewrite和mod_headers模块

Step2. 在正文部分引入如下配置(配置说明:Range:标头中超过5个范围时即拒绝请求,并且总是丢弃Request-Range,因为是旧版的)

<IfModule rewrite_module>
<IfModule mod_headers>
    # Reject request when more than 5 ranges in the Range: header.
    # CVE-2011-3192
    #
    RewriteEngine
最低0.47元/天 解锁文章

200万优质内容无限畅学
Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞
weixin_33882443的博客
08-29 2828
以下文字全部转载自“绿盟科技紧急通告” 受影响的软件及系统:====================Apache 1.3 全部版本Apache 2 全部版本 综述:======  Apache HTTP Server由于其开源及跨平台的特性,是目前互联网上使用最广泛的Web服务器程序。近期Apache Web服务器被发现存在一个远程拒绝服务漏洞,***者只要能...
apache2.2.15漏洞解决办法
weixin_34242658的博客
04-14 3907
1.服务器扫面■HTTPTRACEMethodEnabled说明:Apache服务器启用了TRACEMethod。1.TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。2.由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本简称XSS***,这种***方式又称为跨站跟踪***...
Apache2.2.15
09-20
Apache2.2.15Apache官网已经很难下载得到了,所以和大家分享
Apache Struts2 远程命令执行漏洞(S2-052
最新发布
m0_73399576的博客
07-03 1156
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
Apache HTTPD 2.2.15部分漏洞修复建议
sinat_35855737的博客
05-24 1806
原文链接
apache2.2.15
05-12
下载完Apache后,双击httpd-2.2.15-win32-x86-no_ssl.msi文件。选择同意条款,点Next;在Network Domain的框里填入域名(不带www的),在ServerName填入带前缀的域名(有带www或其他前缀的),在Email Address填入你的Email地址;点选For All Users单选框;然后一路Next。
httpd-2.2.15.tar.gz
04-03
apachehttpd源码包,实现动态虚拟主机和用户认证,配置过程详见我上传的资源
【linux】 apache多后缀文件解析漏洞复现
2401_83817843的博客
04-19 884
由于管理员的错误配置, AddHandler application/x-httpd-php .php,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件,利用Apache httpd这个特性,就可以绕过上传文件的白名单。还是可以解析,证明不管php是不是在最后面,哪怕在中间,也能被解析。
Apache httpd 出现多个漏洞 可能引发DoS攻击 2.2.x及2.4.x版本受影响
weixin_34004576的博客
09-01 5181
近日,Apache 官方发布了httpd的新版本修复了多个安全漏洞,涉及CVE-2017-3167,CVE-2017-3169,CVE-2017-7659,CVE-2017-7668,CVE-2017-7679,可以造成身份验证被绕过以及拒绝服务攻击等。大部分Apache httpd 2.2.x以及2.4.x版本均受影响。相关漏洞信息如下: CVE...
httpd-2.2.15.zip
07-27
apache的源码安装包,可以自己定制要安装的选项,企业很实用 apache的源码安装包,可以自己定制要安装的选项,企业很实用
httpd-2.2.15-complied.zip
07-19
httpd-2.2.15 编译后,可运行于 root 用户,的web服务器。
Apache2.2.15 配置httphttps
03-19
NULL 博文链接:https://chenyuxiaoxiao.iteye.com/blog/722406
Apache2.2.15安装及配置过程
09-25
Apache2.2.15安装及配置过程 Apache2.2.15安装及配置过程 Apache2.2.15安装及配置过程 Apache2.2.15安装及配置过程
Apache httpd-2.2.15源码
02-27
Apache httpd-2.2.15源码,很宝贵的哦!Apache的官网现在都没这个版本了!
Apache 2.2.15 与 Tomcat 6.2.20 整合
along's 学习札记
06-24 1965
<br />Apache 2.2.15 与 Tomcat 6.2.20 整合<br /><br />1. 安装环境:<br /> 1.1 操作系统: windows xp sp3 中文版<br /> 1.2 安装软件: <br /> 1.1.1 JDK 6.0.20 <br /> 1.1.2 Tomcat 6.2.20<br /> 1.1.Apache 2.2.15<br /> 1.1.4 MySQL-5.1.39-win32<br /><br />2. 整合目的(意义):<br /><br /><br
apache 2.2.15+tomcat6 集群
在路上。。。
04-14 748
一、环境: linux 虚拟机:centos6.5  jdk1.7.0 apache2.2.15 tomcat6 服务器1:apache +tomcat6 服务器2:tomcat6 二、安装       1)安装apache:           rpm -qa httpd  查询系统是否已经安装           未安装:           yum install h
windows下搭建Apache2.2.15和php-5.2.13的配置方法
虎猫
06-25 233
最近要搭建一个博客系统,用到了开源项目WordPress,下载后才知道是用php写的,以前一直没有用过php,所以就开始搭建php的开发环境。从网上搜了一大堆资料,遇到很多问题,道路艰辛啊,浪费了一下午才配置成功,我把正确的配置方法跟大家分享一下,省得浪费时间。 1、下载Apache2.2.15,到http://archive.apache.org/dist/httpd/binaries/win...
Apache HTTPD 换行解析漏洞Apache
12-28
### Apache HTTPD 换行解析漏洞详情 Apache HTTPD2.4.0 至 2.4.29 版本中存在一个严重的解析漏洞,编号为 CVE-2017-15715。此漏洞允许攻击者通过特定方式利用文件名中的换行符 (\x0A),使服务器错误地处理 PHP 文件[^1]。 当请求路径包含 \x0A 字符时,Apache HTTPD 可能会将其解释为新行字符并继续执行后续部分作为有效脚本。这使得恶意用户能够绕过基于 URL 或扩展名的安全控制措施,从而可能访问受限资源或执行任意代码[^2]。 例如,在 php 解析过程中 `test.php\x0A` 将被当作正常的 PHP 后缀进行解析,进而触发该漏洞。 ### 修复方法 为了防止此类攻击的发生,官方建议升级到最新稳定版的 Apache HTTP Server (至少 2.4.30+) 来获得针对这一问题的补丁和支持改进。 如果无法立即更新,则可以考虑采取以下临时缓解措施之一: #### 修改配置文件 编辑 httpd.conf 配置文件以禁用 mod_mime_magic 模块加载: ```apache LoadModule mime_module modules/mod_mime.so # Comment out or remove the following line to disable magic MIME type detection # LoadModule mime_magic_module modules/mod_mime_magic.so ``` #### 使用 .htaccess 设置 对于那些没有权限修改全局配置的情况,可以在应用程序根目录下的 `.htaccess` 中加入如下指令来阻止含有非法字符的 URI 请求: ```apache <If "%{THE_REQUEST} =~ /[\r\n]/"> Require all denied </If> ``` 这些更改有助于减少因未修补版本而带来的风险,但仍强烈推荐尽快安装正式发布的安全更新包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值