얼마 전 발표된 이 취약점은 설명이 아래처럼 애매하게 나와있다.
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3581
The cache_merge_headers_out function in modules/cache/cache_util.c in the mod_cache module in the Apache HTTP Server before 2.4.11 allows remote attackers to cause a denial of service (NULL pointer dereference and application crash) via an empty HTTP Content-Type header.
관련 개발자들 끼리도 초기에 문제가 있을 것이라고 추정만 하고 실제 확인은 하지 않은 상태로 혼란이 정리되지 않았었다.
하지만 확인한 결과 apache 2.2 는 이 취약점과 관련이 없다.
아파치 이슈 트래커의 해당 이슈 중 #6 코멘트를 보면 이 문제로 논의가 있었고 2.2 버전은 무관함을 확인한 부분이 나온다. 그리고 관련 논의 링크도 확인할 수 있다.
https://issues.apache.org/bugzilla/show_bug.cgi?id=56924#c6
