阿里云
发表主题 回复主题
  • 1286阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-3167等:Apache  httpd 多个安全漏洞

级别: 论坛版主
发帖
153
云币
293
2017年6月19日,Apache httpd被曝出多个安全漏洞,漏洞编号为:CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679,安全风险较高,阿里安全团队兼用用户尽快查并升级 AuM}L&`i^  
具体详情如下:                                  8N |K   
                                                
漏洞编号: FI$ -."F  
CVE-2017-3167 CbxWK#aMmB  
CVE-2017-3169 g-ZXj4Ph!  
CVE-2017-7659 6Z=Qs=q  
CVE-2017-7668 9; 9ge  
CVE-2017-7679 VV 54$a  
漏洞名称:  8 }AWU  
Apache  httpd 多个安全漏洞 Vo.~1^  
官方评级: py%~Qz%  
高危 @A`j Wao  
漏洞描述: A@:U|)+4  
  • CVE-2017-3167
第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证要求。 OZz!8-|wE  
  • CVE-2017-3169
=\MAz[IDj  
第三方模块在HTTP请求HTTPS端口时,若调用ap_hook_process_connection(),则mod_ssl会间接引用空指针。 W1LR ,:$  
  • CVE-2017-7659
V[Sj+&e&  
处理构造的HTTP/2请求时,会造成mod_http2间接引用空指针,或造成服务进程崩溃。 iweT @P`  
  • CVE-2017-7668
@Cx goX^  
在令牌列表解析中存在bug,可使ap_find_token()搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。 `|v/qk7 ^?  
  • CVE-2017-7679
paMK]-  
恶意攻击者发送恶意Content-Type响应头时,mod_mime会造成缓冲区越界读。 mH\2XG8nV  
漏洞利用条件和方式: Jp^#G2  
远程利用 -0]%#(E%`h  
漏洞影响范围: 5}! 36SO\  
  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到2.2.32版本
  • CVE-2017-7668:Apache HTTP Web Server 2.2.32
  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.4.0到2.4.25版本
  • CVE-2017-7659, CVE-2017-7668:Apache HTTP Web Server 2.4.25
漏洞检测: \Mdi eO*  
MR5[|kHJT  
自查Apache http版本是否在受影响范围内 `ueOb  
  1. apachectl -v  
  2. 或者
  3. httpd -v
IDpx_  
漏洞修复建议(或缓解措施): S,avvY.U\  
,Jn` qvmi  
情报来源: 9`"#OQPn1  
  • https://httpd.apache.org/security_report.html
Mc(|+S@w'  
a0PU&o1EF  
cW"DDm g  
\}Iq-Je   
?4aW^l6/  
|YV> #l  
wa`c3PQGu  
>LH}A6dUC  
[ gZR}E  
Rh$+9w  
xD~r Q$6sI  
7xux%:BN  
PDz:x4A  
0L,!o[L*  
@de0)AJG6  
0@y`iZ] 1S  
CPeu="[  
0*oavY*  
\d]Y#j<  
DO+~    
Aho*E9VW  
{{>,c}O /  
 '.>y'=  
F+ RE  
Qe4 % A  
N^PkSf[)h5  
[ 此帖被正禾在2017-06-20 16:11重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 06-22
有没有详细的升级
级别: 论坛版主
发帖
153
云币
293
只看该作者 板凳  发表于: 06-23
回 1楼(ponus) 的帖子
Apache要么编译升级安装,要么使用源更新,每个环境不一样,您可以百度搜索或官方文档看看。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个