【51CTO.com綜合報(bào)道】近期Apache Web服務(wù)器被發(fā)現(xiàn)存在“Apache HTTP Server畸形Range選項(xiàng)處理遠(yuǎn)程拒絕服務(wù)漏洞”，攻擊者只要能夠連接服務(wù)器，通過(guò)發(fā)送畸形的惡意請(qǐng)求，即可使服務(wù)器失去響應(yīng)致使無(wú)法提供正常的服務(wù)。Apache HTTP Server由于其開(kāi)源及跨平臺(tái)的特性，是目前互聯(lián)網(wǎng)上使用最廣泛的Web服務(wù)器程序，而且此漏洞幾乎影響當(dāng)前全部版本的Apache服務(wù)器，因此需引起相關(guān)用戶的高度重視。

此漏洞是一個(gè)0day漏洞，技術(shù)細(xì)節(jié)及相應(yīng)的利用代碼已經(jīng)公開(kāi)，也已經(jīng)出現(xiàn)了利用此漏洞進(jìn)行攻擊的案例。Apache軟件基金會(huì)已得知此漏洞的存在并開(kāi)始處理，目前還沒(méi)有提供正式的補(bǔ)丁或新版本的軟件。

針對(duì)此形勢(shì)，綠盟科技Web應(yīng)用防火墻發(fā)布緊急升級(jí)包，增加了對(duì)該漏洞的防護(hù)能力，升級(jí)后，客戶只需啟用Web安全防護(hù)策略中的“漏洞攻擊防護(hù)”即可防護(hù)該漏洞，避免受到攻擊影響。同時(shí)，綠盟科技云服務(wù)平臺(tái)也已經(jīng)緊急制作了相應(yīng)的WAF“虛擬補(bǔ)丁”，已經(jīng)購(gòu)買(mǎi)WAF產(chǎn)品和相關(guān)服務(wù)的客戶將自動(dòng)收到針對(duì)該漏洞的“虛擬補(bǔ)丁”。

經(jīng)過(guò)長(zhǎng)期積累與深入研究，今年6月，綠盟科技WAF產(chǎn)品成功實(shí)現(xiàn)與云服務(wù)的聯(lián)動(dòng)，匯聚安全專家智慧的“云服務(wù)”可以為WAF提供“漏洞視角”和“虛擬補(bǔ)丁”，使WAF能夠定期“真切地看到”網(wǎng)站漏洞的變化，并通過(guò)應(yīng)用“虛擬補(bǔ)丁”做出動(dòng)態(tài)調(diào)整。這將為WAF防護(hù)網(wǎng)站安全提供關(guān)鍵的補(bǔ)充。