发布于 2017-06-20 17:57:49 | 75 次阅读 | 评论: 0 | 来源: 网友投递

这里有新鲜出炉的精品教程,程序狗速度看过来!

Apache Web服务器

Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件。


漏洞编号:

  • CVE-2017-3167

  • CVE-2017-3169

  • CVE-2017-7659

  • CVE-2017-7668

  • CVE-2017-7679

漏洞名称:

Apache httpd 多个安全漏洞

官方评级:

高危

漏洞描述:

  • CVE-2017-3167

第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证要求。

  • CVE-2017-3169

第三方模块在HTTP请求HTTPS端口时,若调用ap_hook_process_connection(),则mod_ssl会间接引用空指针。

  • CVE-2017-7659

处理构造的HTTP/2请求时,会造成mod_http2间接引用空指针,或造成服务器进程崩溃。

  • CVE-2017-7668

在令牌列表解析中存在bug,可使ap_find_token()搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。

  • CVE-2017-7679

恶意攻击者发送恶意Content-Type响应头时,mod_mime会造成缓冲区越界读。

漏洞利用条件和方式:

远程利用

漏洞影响范围:

  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到2.2.32版本

  • CVE-2017-7668:Apache HTTP Web Server 2.2.32版本

  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.4.0到2.4.25版本

  • CVE-2017-7659, CVE-2017-7668:Apache HTTP Web Server 2.4.25版本

漏洞检测:

自查Apache http版本是否在受影响范围内

		apachectl -v	  		或者	  		httpd -v	

漏洞修复建议(或缓解措施):

  • Apache httpd 2.4版本用户升级到2.4.26

  • Apache httpd httpd 2.2版本用户升级到2.2.33-dev



相关阅读 :
漏洞预警:Apache httpd 出现多个重要安全漏洞
几个关键数据,带你快速回顾 Apache 的 2017
《屋中的大象》-- Apache基金会副总裁几十年的观察
巨头终极对决,Apache、Nginx 与 Node.js 之争
程序员 Apache 开源社区进击之路
Apache 软件基金会 18 周年,最新“成绩单”公布
Apache 禁止使用 Facebook 的“BSD +专利”代码
最新网友评论  共有(0)条评论 发布评论 返回顶部
月排行榜

Copyright © 2007-2017 PHPERZ.COM All Rights Reserved   冀ICP备14009818号  版权声明  服务