阿里云
发表主题 回复主题
  • 1285阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-3167等:Apache  httpd 多个安全漏洞

级别: 论坛版主
发帖
153
云币
293
2017年6月19日,Apache httpd被曝出多个安全漏洞,漏洞编号为:CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679,安全风险较高,阿里安全团队兼用用户尽快查并升级 '{e9Vh<x  
具体详情如下:                                  C2$_Ad=s  
                                                
漏洞编号: ~Bw)rf,  
CVE-2017-3167 O/Q7{5n  
CVE-2017-3169 I-L52%E]  
CVE-2017-7659 <FaF67[Q  
CVE-2017-7668 U- b(  
CVE-2017-7679 Nft~UggK  
漏洞名称: he/WqCZg  
Apache  httpd 多个安全漏洞 [:vH_(|  
官方评级: :TPT]q d@  
高危 8[PD`*w  
漏洞描述: Z%rMX}  
  • CVE-2017-3167
第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证要求。 //x^[fkNq)  
  • CVE-2017-3169
E:_m6 m  
第三方模块在HTTP请求HTTPS端口时,若调用ap_hook_process_connection(),则mod_ssl会间接引用空指针。 0.MD_s0)>  
  • CVE-2017-7659
( o(,;  
处理构造的HTTP/2请求时,会造成mod_http2间接引用空指针,或造成服务进程崩溃。 &3@ {?K  
  • CVE-2017-7668
<l#|I'hP  
在令牌列表解析中存在bug,可使ap_find_token()搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。 Fl{@B*3@w  
  • CVE-2017-7679
bi@z<Xm%  
恶意攻击者发送恶意Content-Type响应头时,mod_mime会造成缓冲区越界读。 RWX?B  
漏洞利用条件和方式: \/wbk`2  
远程利用 %>)HAx `  
漏洞影响范围: Lm!/ iseGv  
  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到2.2.32版本
  • CVE-2017-7668:Apache HTTP Web Server 2.2.32
  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.4.0到2.4.25版本
  • CVE-2017-7659, CVE-2017-7668:Apache HTTP Web Server 2.4.25
漏洞检测: WLO4P  
)o=ipm[  
自查Apache http版本是否在受影响范围内 t9U-c5bR  
  1. apachectl -v  
  2. 或者
  3. httpd -v
B.Szp_$  
漏洞修复建议(或缓解措施): qcmf*Yl:v  
iNlY\67sW  
情报来源: j\LJ{?;jC  
  • https://httpd.apache.org/security_report.html
p%ve1>c  
tCF,KP?  
qV7F=1k]  
#;+ABV  
1Zr J7a7=  
ZUA%ZkX=F  
D#.N)@\  
\>G:mMk/  
X2 PyFe  
0etJ, _">  
r@30y/C  
FD1Z}v!5IJ  
I{8sLzA03S  
U65a _dakk  
r8wip\[  
-50 Nd=1  
4nz$J a)  
&tjv.t  
{0~xv@ U  
S9;:)  
Rf4}4ixkj  
"J=A(w5   
4e!>A  
Z37%jdr  
QcN$TxU>  
C4h4W3w  
[ 此帖被正禾在2017-06-20 16:11重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 06-22
有没有详细的升级
级别: 论坛版主
发帖
153
云币
293
只看该作者 板凳  发表于: 06-23
回 1楼(ponus) 的帖子
Apache要么编译升级安装,要么使用源更新,每个环境不一样,您可以百度搜索或官方文档看看。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个