阿里云
订阅广场
发表主题 回复主题
  • 3332阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-3167等:Apache  httpd 多个安全漏洞

级别: 论坛版主
发帖
215
云币
400
2017年6月19日,Apache httpd被曝出多个安全漏洞,漏洞编号为:CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679,安全风险较高,阿里安全团队兼用用户尽快查并升级 .2f0e[J  
具体详情如下:                                  %df[8eX{  
                                                
漏洞编号: k/m-jm_h  
CVE-2017-3167 {1}p+dEK  
CVE-2017-3169 :pNu$%q  
CVE-2017-7659 C<E;f]d  
CVE-2017-7668 +nKf ^rG  
CVE-2017-7679 JL=s=9N;3  
漏洞名称: W@WKdaJ  
Apache  httpd 多个安全漏洞 1z-Q~m@@  
官方评级: G|LcTV  
高危 u;/<uV3  
漏洞描述: 9;L50q>s  
  • CVE-2017-3167
第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证要求。 0#!Z1:Y  
  • CVE-2017-3169
`y*o -St3  
第三方模块在HTTP请求HTTPS端口时,若调用ap_hook_process_connection(),则mod_ssl会间接引用空指针。 TIVrbO\!o  
  • CVE-2017-7659
yr q){W  
处理构造的HTTP/2请求时,会造成mod_http2间接引用空指针,或造成服务进程崩溃。 WoD Qg64  
  • CVE-2017-7668
K)nn;j=  
在令牌列表解析中存在bug,可使ap_find_token()搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。 T?EFY}f  
  • CVE-2017-7679
e) kVS}e?  
恶意攻击者发送恶意Content-Type响应头时,mod_mime会造成缓冲区越界读。 Sz0CP1WB  
漏洞利用条件和方式: u= ydX  
远程利用 !A#(bC  
漏洞影响范围: 0 ChdFf7  
  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到2.2.32版本
  • CVE-2017-7668:Apache HTTP Web Server 2.2.32
  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.4.0到2.4.25版本
  • CVE-2017-7659, CVE-2017-7668:Apache HTTP Web Server 2.4.25
漏洞检测: a {4RG(I_  
C^9bur/  
自查Apache http版本是否在受影响范围内 x>MY_?a  
  1. apachectl -v  
  2. 或者
  3. httpd -v
a{! 8T  
漏洞修复建议(或缓解措施): f4lC*nCN  
8BggK6X  
情报来源: )jm u*D5N  
  • https://httpd.apache.org/security_report.html
Qh!h "]  
|C3~Q{A  
r  |JZU  
z|WDqB%/I  
.>+jtp}  
F'3-*>]P  
O K2|/y  
?%wM8?  
WG(%Pkowv  
:Wmio\  
X.hV MX2B  
V8IEfU  
NiO|Aki{  
X8| 0RU@f  
N Uq'96 {Y  
_5SA(0D#9  
V;>u()  
8[mj*^P  
zx=AT  
 4xnM7t\  
5$Aiez~tBq  
dRPX`%J  
>2@ a\  
m9m]q&hx  
7(1UXtT  
/8tF7Mmr  
[ 此帖被正禾在2017-06-20 16:11重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 2017-06-22
有没有详细的升级
级别: 论坛版主
发帖
215
云币
400
只看该作者 板凳  发表于: 2017-06-23
回 1楼(ponus) 的帖子
Apache要么编译升级安装,要么使用源更新,每个环境不一样,您可以百度搜索或官方文档看看。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个