关于我们

Apache httpd存在多个高危漏洞

发布时间:2017-06-22 09:48:35
apache-server-logo.png

漏洞描述

Apache httpd存在多个高危漏洞,包括:CVE-2017-3167第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证。CVE-2017-3169第三方模块在HTTP请求HTTPS端口时,若调用ap_hook_process_connection(),则mod_ssl会间接引用空指针。CVE-2017-7659处理构造的HTTP/2请求时,会造成mod_http2间接引用空指针,或造成服务器进程崩溃。CVE-2017-7668在令牌列表解析中存在bug,可使ap_find_token()搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。CVE-2017-7679恶意攻击者发送恶意Content-Type响应头时,mod_mime会造成缓冲区越界读。

影响版本

CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到2.2.32版本
CVE-2017-7668:Apache HTTP Web Server 2.2.32版本
CVE-2017-3167, CVE-2017-3169, CVE-2017-7679::Apache HTTP Web Server 2.4.0到2.4.25版本
CVE-2017-7659, CVE-2017-7668::Apache HTTP Web Server 2.4.25版本

漏洞等级

高危

修复建议

1、Apache httpd 2.4版本用户升级到2.4.26,Apache httpd httpd 2.2版本用户升级到2.2.33-dev。
2、使用百度云加速WAF防火墙进行防御。
3、添加网站至安全指数,及时了解网站组件突发/0day漏洞。

了解更多

https://httpd.apache.org/security/vulnerabilities_22.html
/template/Home/AllNew/PC/Static
https://s19.cnzz.com/z_stat.php?id=1261961198&web_id=1261961198