开发者社区> 问答> 正文

【漏洞公告】CVE-2017-3167等:Apache  httpd 多个安全漏洞

2017年6月19日,Apache httpd被曝出多个安全漏洞,漏洞编号为: CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679,安全风险较高,阿里云安全团队兼用用户尽快自查并升级。
具体详情如下:                                 
                                                


漏洞编号:
CVE-2017-3167
CVE-2017-3169
CVE-2017-7659
CVE-2017-7668
CVE-2017-7679
漏洞名称:
Apache  httpd 多个安全漏洞
官方评级:
高危
漏洞描述:
  • CVE-2017-3167
第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证要求。
  • CVE-2017-3169

第三方模块在HTTP请求HTTPS端口时,若调用ap_hook_process_connection(),则mod_ssl会间接引用空指针。
  • CVE-2017-7659

处理构造的HTTP/2请求时,会造成mod_http2间接引用空指针,或造成服务器进程崩溃。
  • CVE-2017-7668

在令牌列表解析中存在bug,可使ap_find_token()搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。
  • CVE-2017-7679

恶意攻击者发送恶意Content-Type响应头时,mod_mime会造成缓冲区越界读。
漏洞利用条件和方式:
远程利用
漏洞影响范围:
  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到2.2.32版本
  • CVE-2017-7668:Apache HTTP Web Server 2.2.32
  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.4.0到2.4.25版本
  • CVE-2017-7659, CVE-2017-7668:Apache HTTP Web Server 2.4.25
漏洞检测:

自查Apache http版本是否在受影响范围内
apachectl -v  
或者
httpd -v

漏洞修复建议(或缓解措施):

情报来源:
  • https://httpd.apache.org/security_report.html


























展开
收起
正禾 2017-06-20 16:05:28 16505 0
2 条回答
写回答
取消 提交回答
  • 云安全专家,专业研究云安全5年+,擅长云安全防护体系建设和安全运营。
    回 1楼(ponus) 的帖子
    Apache要么编译升级安装,要么使用源更新,每个环境不一样,您可以百度搜索或官方文档看看。
    2017-06-23 09:38:18
    赞同 展开评论 打赏
  • 有没有详细的升级
    2017-06-22 12:04:45
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
Apache Flink技术进阶 立即下载
Apache Spark: Cloud and On-Prem 立即下载
Hybrid Cloud and Apache Spark 立即下载

相关镜像