漏洞描述
Apache httpd存在多個高危漏洞��,包括:
CVE-2017-3167
第三方模塊在身份驗證階段使用ap_get_basic_auth_pw()����,會導致繞過身份驗證��。
CVE-2017-3169
第三方模塊在HTTP請求HTTPS端口時��,若調用ap_hook_process_connection()�,則mod_ssl會間接引用空指針����。
CVE-2017-7659
處理構造的HTTP/2請求時���,會造成mod_http2間接引用空指針��,或造成服務器進程崩潰�。
CVE-2017-7668
在令牌列表解析中存在bug���,可使ap_find_token()搜索輸入字符串之外的內容����,通過構造的請求頭序列�����,攻擊者可造成段故障�,或強制ap_find_token()返回錯誤值��。
CVE-2017-7679
惡意攻擊者發送惡意Content-Type響應頭時�����,mod_mime會造成緩沖區越界讀����。
影響版本
CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到2.2.32版本
CVE-2017-7668:Apache HTTP Web Server 2.2.32版本
CVE-2017-3167, CVE-2017-3169, CVE-2017-7679::Apache HTTP Web Server 2.4.0到2.4.25版本
CVE-2017-7659, CVE-2017-7668::Apache HTTP Web Server 2.4.25版本
漏洞等級
高危
修復建議
1���、Apache httpd 2.4版本用戶升級到2.4.26�,Apache httpd httpd 2.2版本用戶升級到2.2.33-dev�。
2�����、使用百度云加速WAF防火墻進行防御����。
3����、添加網站至安全指數�,及時了解網站組件突發/0day漏洞����。
了解更多
https://httpd.apache.org/security/vulnerabilities_22.html
