HTTP服務器 Apache 全系爆拒絕服務漏洞

Apache 項目日前發布了一個拒絕服務(DoS)漏洞警告，該漏洞可讓攻擊者輕松的讓 Apache 軟件拒絕服務，該漏洞影響 Apache 的所有版本。而且坊間已經流傳著這樣的攻擊工具，該攻擊可使 Apache Http Server 占用大多數的內存和 CPU，從而導致無法處理正常的請求。

采用默認方式安裝的 Apache 非常容易受此攻擊，而且目前還沒有相應的補丁版本，預計在 48 小時內 Apache 會推出相應的補丁程序。

臨時的應對措施請看這里。

Apache HTTP Server（簡稱Apache）是Apache軟件基金會的一個開放源碼的網頁服務器，可以在大多數計算機操作系統中運行，由于其多平臺和安全性^[1]被廣泛使用，是最流行的Web服務器端軟件之一。它快速、可靠并且可通過簡單的API擴展，將Perl/Python等解釋器編譯到服務器中。

Apache 起初由伊利諾伊大學香檳分校的國家超級電腦應用中心（NCSA）開發。此后，Apache 被開放源代碼團體的成員不斷的發展和加強。Apache 服務器擁有牢靠可信的美譽，已用在超過半數的因特網站中－特別是幾乎所有最熱門和訪問量最大的網站。

開始，Apache只是Netscape網頁服務器（現在是Sun ONE）之外的開放源代碼選擇。漸漸的，它開始在功能和速度超越其他的基于Unix的HTTP服務器。1996年4月以來，Apache一直是Internet上最流行的HTTP服務器: 1999年5月它在 57% 的網頁服務器上運行；到了2005年7月這個比例上升到了69%。在2005年11月的時候達到接近70％的市占率，不過隨著擁有大量域名數量的主機域名商轉換為微軟IIS平臺，Apache市占率近年來呈現些微下滑。而Google自己的網頁服務器平臺GWS推出后，加上Lighttpd這 個輕量化網頁服務器軟件使用的網站慢慢增加，反應在整體網頁服務器市占率上，根據netcraft在2007年7月的最新統計數據，Apache的市占率 已經降為52.65％，8月時又滑落到50.92％。盡管如此，它仍舊是現階段因特網市場上，市占率最高的網頁服務器軟件。^[2]

作者宣稱因為這個名字好記才在最初選擇它，但是流傳最廣的解釋是（也是最顯而易見的）:這個名字來自這么一個事實:當Apache在1995年初開發的時候，它是由當時最流行的HTTP服務器NCSA HTTPd 1.3 的代碼修改而成的，因此是“一個修補的（a patchy）”服務器。然而在服務器官方網站的FAQ中是這么解釋的:“‘Apache’這個名字是為了紀念名為Apache(印地語)的美洲印第安人 土著的一支，眾所周知他們擁有高超的作戰策略和無窮的耐性”。無論如何，Apache 2.x 分支不包含任何 NCSA 的代碼。

Apache支持許多特性，大部分通過編譯的模塊實現。這些特性從服務器端的編程語言支持到身份認證方案。一些通用的語言接口支持 Perl，Python， Tcl， 和 PHP。流行的認證模塊包括 mod_access， mod_auth 和 mod_digest。其他的例子有 SSL 和 TLS 支持 (mod_ssl)， 代理服務器 (proxy) 模塊，很有用的URL重寫(由 mod_rewrite 實現)，定制日志文件 (mod_log_config)，以及過濾支持(mod_include 和 mod_ext_filter)。Apache日志可以通過網頁瀏覽器使用免費的腳本AWStats或Visitors來進行分析。

下載：http://httpd.apache.org/download.cgi