全部产品
云市场
云游戏

【漏洞公告】Apache httpd 多个安全漏洞

更新时间:2018-03-08 17:09:13

2017年6月19日,Apache httpd被曝出多个安全漏洞,漏洞编号为:CVE-2017-3167,CVE-2017-3169,CVE-2017-7659,CVE-2017-7668,CVE-2017-7679。这些漏洞的安全风险较高,阿里云安全团队建议您自查并升级。

漏洞详情见下文。


漏洞编号

  • CVE-2017-3167
  • CVE-2017-3169
  • CVE-2017-7659
  • CVE-2017-7668
  • CVE-2017-7679

漏洞名称

Apache httpd 多个安全漏洞

官方评级

高危

漏洞描述

CVE-2017-3167:第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证要求。

CVE-2017-3169:第三方模块在HTTP请求HTTPS端口时,若调用ap_hook_process_connection(),则mod_ssl会间接引用空指针。

CVE-2017-7659:处理构造的HTTP/2请求时,会造成mod_http2间接引用空指针,或造成服务器进程崩溃。

CVE-2017-7668:在令牌列表解析中存在bug,可使ap_find_token()搜索输入字符串之外的内容。通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。

CVE-2017-7679:恶意攻击者发送恶意Content-Type响应头时,mod_mime会造成缓冲区越界读。

漏洞利用条件和方式

远程利用

漏洞影响范围

  • CVE-2017-3167,CVE-2017-3169,CVE-2017-7679 影响范围:

    Apache HTTP Web Server 2.2.0 到2.2.32,2.4.0到2.4.25

  • CVE-2017-7659 影响范围:Apache HTTP Web Server 2.4.25

  • CVE-2017-7668 影响范围:Apache HTTP Web Server 2.2.32,2.4.25

漏洞检测

使用以下命令自查Apache http版本是否在受影响范围内:

  1. apachectl -v

或者

  1. httpd -v

漏洞修复建议(或缓解措施)

  • Apache httpd 2.4版本用户升级到2.4.26
  • Apache httpd 2.2版本用户升级到2.2.33-dev

情报来源

https://httpd.apache.org/security_report.html