Linuxeden 开源社区 --
漏洞编号:
- CVE-2017-3167
- CVE-2017-3169
- CVE-2017-7659
- CVE-2017-7668
- CVE-2017-7679
漏洞名称:
Apache httpd 多个安全漏洞
官方评级:
高危
漏洞描述:
- CVE-2017-3167
第三方模块在身份验证阶段使用 ap_get_basic_auth_pw(),会导致绕过身份验证要求。
- CVE-2017-3169
第三方模块在 HTTP 请求 HTTPS 端口时,若调用 ap_hook_process_connection(),则 mod_ssl 会间接引用空指针。
- CVE-2017-7659
处理构造的 HTTP/2 请求时,会造成 mod_http2 间接引用空指针,或造成服务器进程崩溃。
- CVE-2017-7668
在令牌列表解析中存在 bug,可使 ap_find_token() 搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制 ap_find_token() 返回错误值。
- CVE-2017-7679
恶意攻击者发送恶意 Content-Type 响应头时,mod_mime 会造成缓冲区越界读。
漏洞利用条件和方式:
远程利用
漏洞影响范围:
- CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到 2.2.32 版本
- CVE-2017-7668:Apache HTTP Web Server 2.2.32 版本
- CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.4.0 到 2.4.25 版本
- CVE-2017-7659, CVE-2017-7668:Apache HTTP Web Server 2.4.25 版本
漏洞检测:
自查 Apache http 版本是否在受影响范围内
apachectl -v
或者
httpd -v
漏洞修复建议 (或缓解措施):
- Apache httpd 2.4 版本用户升级到 2.4.26
- Apache httpd httpd 2.2 版本用户升级到 2.2.33-dev
转自 http://ift.tt/2tIg0dp
The post 漏洞预警:Apache httpd 出现多个重要安全漏洞 appeared first on Linuxeden开源社区.
http://ift.tt/2sOHX6I
没有评论:
发表评论