漏洞編号:
cve-2017-3167
cve-2017-3169
cve-2017-7659
cve-2017-7668
cve-2017-7679
漏洞名稱:
apache httpd 多個安全漏洞
官方評級:
高危
漏洞描述:
第三方子產品在身份驗證階段使用ap_get_basic_auth_pw(),會導緻繞過身份驗證要求。
第三方子產品在http請求https端口時,若調用ap_hook_process_connection(),則mod_ssl會間接引用空指針。
處理構造的http/2請求時,會造成mod_http2間接引用空指針,或造成伺服器程序崩潰。
在令牌清單解析中存在bug,可使ap_find_token()搜尋輸入字元串之外的内容,通過構造的請求頭序列,攻擊者可造成段故障,或強制ap_find_token()傳回錯誤值。
惡意攻擊者發送惡意content-type響應頭時,mod_mime會造成緩沖區越界讀。
漏洞利用條件和方式:
遠端利用
漏洞影響範圍:
cve-2017-3167, cve-2017-3169, cve-2017-7679:apache http web server 2.2.0 到2.2.32版本
cve-2017-7668:apache http web server 2.2.32版本
cve-2017-3167, cve-2017-3169, cve-2017-7679:apache http web server 2.4.0到2.4.25版本
cve-2017-7659, cve-2017-7668:apache http web server 2.4.25版本
漏洞檢測:
自查apache http版本是否在受影響範圍内
漏洞修複建議(或緩解措施):
apache httpd 2.4版本使用者更新到2.4.26
apache httpd httpd 2.2版本使用者更新到2.2.33-dev
![搭建httpd服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)