漏洞预警:Apache httpd 出现多个重要安全漏洞

妩媚的悟空
 妩媚的悟空
发布于 2017年06月20日
收藏 8

漏洞编号:

  • CVE-2017-3167

  • CVE-2017-3169

  • CVE-2017-7659

  • CVE-2017-7668

  • CVE-2017-7679

漏洞名称:

Apache httpd 多个安全漏洞

官方评级:

高危

漏洞描述:

  • CVE-2017-3167

第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证要求。

  • CVE-2017-3169

第三方模块在HTTP请求HTTPS端口时,若调用ap_hook_process_connection(),则mod_ssl会间接引用空指针。

  • CVE-2017-7659

处理构造的HTTP/2请求时,会造成mod_http2间接引用空指针,或造成服务器进程崩溃。

  • CVE-2017-7668

在令牌列表解析中存在bug,可使ap_find_token()搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。

  • CVE-2017-7679

恶意攻击者发送恶意Content-Type响应头时,mod_mime会造成缓冲区越界读。

漏洞利用条件和方式:

远程利用

漏洞影响范围:

  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到2.2.32版本

  • CVE-2017-7668:Apache HTTP Web Server 2.2.32版本

  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.4.0到2.4.25版本

  • CVE-2017-7659, CVE-2017-7668:Apache HTTP Web Server 2.4.25版本

漏洞检测:

自查Apache http版本是否在受影响范围内

		apachectl -v	
		或者	
		httpd -v	

漏洞修复建议(或缓解措施):

  • Apache httpd 2.4版本用户升级到2.4.26

  • Apache httpd httpd 2.2版本用户升级到2.2.33-dev

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:漏洞预警:Apache httpd 出现多个重要安全漏洞
资讯来源:Apache
加载中

最新评论(8

gloryxin
gloryxin
没找到2.2.33-dev下载链接啊
Soi
Soi
eechen
eechen
Ubuntu/Debian:
sudo apt-get update 刷新软件列表
sudo apt-get upgrade 升级软件
也可以先升级某些软件,比如这次的Apache:
sudo apt-get install apache2
sudo service httpd restart 重启服务生效
雨人生1999
雨人生1999
习以为常了
BruceWan
BruceWan
过几天Nginx爆出漏洞
zigzagroad
zigzagroad
在用Nginx
calvinwilliams
calvinwilliams
功能越多 越复杂 BUG越多
返回顶部
顶部