【文件属性】：
文件名称：apache-uaf:Apache在免费的错误信息后使用ASAN堆栈跟踪
文件大小：221KB
文件格式：ZIP
更新时间：2021-03-17 20:53:04
释放错误后使用Apache 在使用地址清理程序在apache httpd服务器上进行一些模糊测试时，我们定期观察到在释放错误后的使用情况。 我们最初在http2模块中观察到了这些问题，但是我们也能够在未启用http2的情况下重现这些问题，因此我们可能会遇到多个错误，或者核心apache代码中存在潜在的错误。 最初，我们使用模糊有效载荷来触发此错误，但后来我们观察到并行发送随机垃圾足以触发该错误。 我们于2018年6月首次将此行为报告给apache安全团队。apache开发人员似乎并未像我们预期的那样认真对待此问题。 已向我们指出，他们的代码中已经进行了一些修复可能会解决此问题，但是我们仍然能够在最新版本（2.4.37）中重现这些错误。 apache开发人员向我们表明，除非我们可以展示出实用的漏洞利用方法，否则他们不会考虑这些安全问题。 由于apache代码库的复杂性以及我们缺乏二