В http-сервере Apache выявлена (http://www.mail-archive.com/announce@httpd.apache.org/m...) уязвимость (CVE-2016-8740 (https://security-tracker.debian.org/tracker/CVE-2016-8740)), позволяющая осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти. Проблема вызвана отсутствием ограничений на размер заголовков в модуле mod_http2, что может использоваться для инициирования выделения слишком больших областей памяти при обработке специально оформленных запросов.Проблема проявляется в выпусках httpd с 2.4.17 по 2.4.23 включительно, только при активации на сервере поддержки протокола HTTP/2 (по умолчанию отключен). Исправление пока доступно только в виде патча (http://www.mail-archive.com/announce@httpd.apache.org/m...). В качестве временной меры защиты можно отключить поддержку HTTP/2 (убрать h2 и h2c из директивы Protocols).
URL: http://www.mail-archive.com/announce@httpd.apache.org/m...
Новость: http://www.opennet.me/opennews/art.shtml?num=45627
Вариант для распечатки
