漏洞编号:
cve-2017-3167
cve-2017-3169
cve-2017-7659
cve-2017-7668
cve-2017-7679
漏洞名称:
apache httpd 多个安全漏洞
官方评级:
高危
漏洞描述:
第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证要求。
第三方模块在http请求https端口时,若调用ap_hook_process_connection(),则mod_ssl会间接引用空指针。
处理构造的http/2请求时,会造成mod_http2间接引用空指针,或造成服务器进程崩溃。
在令牌列表解析中存在bug,可使ap_find_token()搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。
恶意攻击者发送恶意content-type响应头时,mod_mime会造成缓冲区越界读。
漏洞利用条件和方式:
远程利用
漏洞影响范围:
cve-2017-3167, cve-2017-3169, cve-2017-7679:apache http web server 2.2.0 到2.2.32版本
cve-2017-7668:apache http web server 2.2.32版本
cve-2017-3167, cve-2017-3169, cve-2017-7679:apache http web server 2.4.0到2.4.25版本
cve-2017-7659, cve-2017-7668:apache http web server 2.4.25版本
漏洞检测:
自查apache http版本是否在受影响范围内
漏洞修复建议(或缓解措施):
apache httpd 2.4版本用户升级到2.4.26
apache httpd httpd 2.2版本用户升级到2.2.33-dev
![搭建httpd服务[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)