漏洞预警:Apache httpd 出现多个重要安全漏洞

  • 内容
  • 相关

Image

6月19日,Apache httpd被曝出多个安全漏洞,漏洞编号为:CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679,安全风险较高。

具体详情如下: 


漏洞编号

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

漏洞名称

Apache httpd 多个安全漏洞

官方评级

高危

漏洞描述

  • CVE-2017-3167   第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证要求。

  • CVE-2017-3169   第三方模块在HTTP请求HTTPS端口时,若调用ap_hook_process_connection(),则mod_ssl会间接引用空指针。

  • CVE-2017-7659   处理构造的HTTP/2请求时,会造成mod_http2间接引用空指针,或造成服务器进程崩溃。

  • CVE-2017-7668   在令牌列表解析中存在bug,可使ap_find_token()搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。

  • CVE-2017-7679   恶意攻击者发送恶意Content-Type响应头时,mod_mime会造成缓冲区越界读。

漏洞利用条件和方式

远程利用

漏洞影响范围

  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到2.2.32版本

  • CVE-2017-7668:Apache HTTP Web Server 2.2.32

  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.4.0到2.4.25版本

  • CVE-2017-7659, CVE-2017-7668:Apache HTTP Web Server 2.4.25

漏洞修复建议

  • Apache httpd 2.4版本用户升级到2.4.26

  • Apache httpd httpd 2.2版本用户升级到2.2.33-dev

参考

https://httpd.apache.org/security_report.html

本文标签:

版权声明:若无特殊注明,本文皆为《舜哥哥吖》原创,转载请保留文章出处。

本文链接:漏洞预警:Apache httpd 出现多个重要安全漏洞 - http://www.shungg.cn/post/152

发表评论

电子邮件地址不会被公开。 必填项已用*标注