漏洞描述
Apache HTTP Server 在对状态代码 400 的默认错误响应的实现上,存在 Cookie 信息泄露漏洞,攻击者利用该漏洞可以获取敏感信息。
漏洞修复
注意:建议在漏洞修复前创建服务器快照,以免修复失败造成损失。
方案一:(推荐)
升级到 Apache Httpd 2.2.22 或更高版本。
方案二:
- 打开 httpd 的配置文件(默认为 httpd.ini),定位到
ErrorDocument400
,并在后面加上一段自定义内容,如ErrorDocument400 ”error page!”
。 - 保存配置文件,重启 httpd 服务后配置生效。