阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 9682阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-3167等:Apache  httpd 多个安全漏洞

级别: 论坛版主
发帖
241
云币
478
2017年6月19日,Apache httpd被曝出多个安全漏洞,漏洞编号为:CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679,安全风险较高,阿里安全团队兼用用户尽快查并升级 QW"6]  
具体详情如下:                                  F|3FvxA  
                                                
漏洞编号: < c4RmnA  
CVE-2017-3167 RX<^MzCDV  
CVE-2017-3169 do?n /<@o  
CVE-2017-7659 g)G7 kB/<p  
CVE-2017-7668 4uE5h~0Z  
CVE-2017-7679 (NWN&  
漏洞名称:  f"=4,  
Apache  httpd 多个安全漏洞 T4, Zc  
官方评级: 8GAQVe^$-  
高危 `"-!UkD+  
漏洞描述: #$z-]i  
  • CVE-2017-3167
第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证要求。 fkUH]CdaB  
  • CVE-2017-3169
aFm]?75  
第三方模块在HTTP请求HTTPS端口时,若调用ap_hook_process_connection(),则mod_ssl会间接引用空指针。 R*5;J`TW  
  • CVE-2017-7659
~q%9zO'  
处理构造的HTTP/2请求时,会造成mod_http2间接引用空指针,或造成服务进程崩溃。 QNI|h;D  
  • CVE-2017-7668
F'_8pD7  
在令牌列表解析中存在bug,可使ap_find_token()搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。  DlkKQ  
  • CVE-2017-7679
6V?&hq&t  
恶意攻击者发送恶意Content-Type响应头时,mod_mime会造成缓冲区越界读。 XGl13@=O  
漏洞利用条件和方式: e/#&5ISk  
远程利用 <`p'6n79  
漏洞影响范围: 4qXUk:C@m  
  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到2.2.32版本
  • CVE-2017-7668:Apache HTTP Web Server 2.2.32
  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.4.0到2.4.25版本
  • CVE-2017-7659, CVE-2017-7668:Apache HTTP Web Server 2.4.25
漏洞检测: `1v!sSR0R  
n&78~@H  
自查Apache http版本是否在受影响范围内 8BH)jna`Qo  
  1. apachectl -v  
  2. 或者
  3. httpd -v
oK1[_ko|  
漏洞修复建议(或缓解措施): 9i[2z:4HJ  
`A{~}6jw  
情报来源: 9i)mv/i  
  • https://httpd.apache.org/security_report.html
[hj'Yg8{  
tU2;Wb!Y  
P87Fg  
S_;:iC]B  
!! #ale&  
Q+M3Pqy  
k GeME   
Kqu7DZ+W  
uvM8 8#  
=w?cp}HW  
0x/V1?gm  
+!Ag n)  
x=+I8Q4:  
iDxgAV f*  
@Odu.F1e  
Lcb5 9Cs6e  
`8bp6}OD,  
,$[lOFs  
"G)?  E|  
] CE2/6Ph  
iW$i%`>  
2`eu3vA  
\$UU/\  
O]!DNN  
MT gEq  
e%>E| 9*u  
[ 此帖被正禾在2017-06-20 16:11重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 2017-06-22
有没有详细的升级
级别: 论坛版主
发帖
241
云币
478
只看该作者 板凳  发表于: 2017-06-23
回 1楼(ponus) 的帖子
Apache要么编译升级安装,要么使用源更新,每个环境不一样,您可以百度搜索或官方文档看看。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 64 + 36 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)