Apache APR-util 资源管理错误漏洞

CNNVD-ID编号	CNNVD-200906-102
CVE编号	CVE-2009-1955
发布时间	2009-06-08
更新时间	2020-10-21
漏洞类型	资源管理错误
漏洞来源	N/A
危险等级	高危
威胁类型	远程
厂商	apache

漏洞介绍

Apache HTTP Server是美国阿帕奇软件（Apache Software）基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。

APR-util库所使用的expat XML解析器(位于xml/apr_xml.c文件的apr_xml_*接口)在处理实体定义中包含有大量嵌套实体引用的XML文件时可能会耗尽所有可用的内存，导致拒绝服务的情况。所有使用APR-util库的expat wrapper接口解析不可信任XML文档的网络服务都受这个漏洞影响，如Apache httpd WebDAV模块mod_dav。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://en.securitylab.ru/bitrix/redirect.php?event3=381000&goto=http%3A%2F%2Fsvn.apache.org%2Fviewvc%3Fview%3Drev%26revision%3D781403

http://www.debian.org/security/2009/dsa-1812

参考网址

来源:httpd.apache.org%3E

链接：httpd.apache.org%3E
来源:MLIST

链接：https://lists.apache.org/thread.html/8d63cb8e9100f28a99429b4328e4e7cebce861d5772ac9863ba2ae6f@%3Ccvs.
来源:OVAL

链接：https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10270
来源:CONFIRM

链接：http://support.apple.com/kb/HT3937
来源:UBUNTU

链接：http://www.ubuntu.com/usn/usn-786-1
来源:CONFIRM

链接：http://svn.apache.org/viewvc?view=rev&revision=781403
来源:AIXAPAR

链接：http://www-01.ibm.com/support/docview.wss?uid=swg1PK99478
来源:VUPEN

链接：http://www.vupen.com/english/advisories/2009/1907
来源:SECUNIA

链接：http://secunia.com/advisories/35444
来源:SECUNIA

链接：http://secunia.com/advisories/35565
来源:SECUNIA

链接：http://secunia.com/advisories/35487
来源:SECUNIA

链接：http://secunia.com/advisories/35843
来源:CONFIRM

链接：http://www.apache.org/dist/apr/CHANGES-APR-UTIL-1.3
来源:CONFIRM

链接：http://www-01.ibm.com/support/docview.wss?uid=swg27014463
来源:MLIST

链接：https://lists.apache.org/thread.html/r57608dc51b79102f3952ae06f54d5277b649c86d6533dcd6a7d201f7@%3Ccvs.
来源:EXPLOIT-DB

链接：https://www.exploit-db.com/exploits/8842
来源:SECUNIA

链接：http://secunia.com/advisories/35284
来源:SECUNIA

链接：http://secunia.com/advisories/37221
来源:SECUNIA

链接：http://secunia.com/advisories/35360
来源:BUGTRAQ

链接：http://www.securityfocus.com/archive/1/506053/100/0/threaded
来源:MLIST

链接：http://marc.info/?l=apr-dev&m=124396021826125&w=2
来源:HP

链接：http://marc.info/?l=bugtraq&m=129190899612998&w=2
来源:MANDRIVA

链接：http://www.mandriva.com/security/advisories?name=MDVSA-2009:131
来源:SECUNIA

链接：http://secunia.com/advisories/35710
来源:FEDORA

链接：https://www.redhat.com/archives/fedora-package-announce/2009-June/msg01228.html
来源:SECUNIA

链接：http://secunia.com/advisories/35797
来源:BID

链接：https://www.securityfocus.com/bid/35253
来源:DEBIAN

链接：https://www.debian.org/security/2009/dsa-1812
来源:GENTOO

链接：http://security.gentoo.org/glsa/glsa-200907-03.xml
来源:AIXAPAR

链接：http://www-01.ibm.com/support/docview.wss?uid=swg1PK88342
来源:SUSE

链接：http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html
来源:OVAL

链接：https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A12473
来源:REDHAT

链接：http://www.redhat.com/support/errata/RHSA-2009-1108.html
来源:CONFIRM

链接：http://wiki.rpath.com/Advisories:rPSA-2009-0123
来源:MLIST

链接：http://www.openwall.com/lists/oss-security/2009/06/03/4
来源:VUPEN

链接：http://www.vupen.com/english/advisories/2009/3184
来源:SLACKWARE

链接：http://slackware.com/security/viewer.php?l=slackware-security&y=2009&m=slackware-security.538210
来源:SECUNIA

链接：http://secunia.com/advisories/35395
来源:UBUNTU

链接：http://www.ubuntu.com/usn/usn-787-1
来源:FEDORA

链接：https://www.redhat.com/archives/fedora-package-announce/2009-June/msg01201.html
来源:MLIST

链接：https://lists.apache.org/thread.html/rfbaf647d52c1cb843e726a0933f156366a806cead84fbd430951591b@%3Ccvs.
来源:MLIST

链接：https://lists.apache.org/thread.html/f7f95ac1cd9895db2714fa3ebaa0b94d0c6df360f742a40951384a53@%3Ccvs.
来源:CONFIRM

链接：http://www.oracle.com/technetwork/topics/security/cpuapr2013-1899555.html
来源:SECUNIA

链接：http://secunia.com/advisories/36473
来源:REDHAT

链接：http://www.redhat.com/support/errata/RHSA-2009-1107.html
来源:VUPEN

链接：http://www.vupen.com/english/advisories/2010/1107
来源:AIXAPAR

链接：http://www-01.ibm.com/support/docview.wss?uid=swg1PK91241
来源:FEDORA

链接：https://www.redhat.com/archives/fedora-package-announce/2009-June/msg01173.html
来源:APPLE

链接：http://lists.apple.com/archives/security-announce/2009/Nov/msg00000.html
来源:SECUNIA

链接：http://secunia.com/advisories/34724

受影响实体

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200906-102