漏洞预警:Apache httpd 出现多个重要安全漏洞

最新推荐文章于 2024-06-12 15:29:48 发布
最新推荐文章于 2024-06-12 15:29:48 发布
阅读量1.8k 收藏 1
点赞数
原文链接:https://yq.aliyun.com/articles/109403
版权

漏洞编号:

  • CVE-2017-3167
  • CVE-2017-3169
  • CVE-2017-7659
  • CVE-2017-7668
  • CVE-2017-7679

漏洞名称:

Apache httpd 多个安全漏洞

官方评级:

高危

漏洞描述:

  • CVE-2017-3167

第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证要求。

  • CVE-2017-3169

第三方模块在HTTP请求HTTPS端口时,若调用ap_hook_process_connection(),则mod_ssl会间接引用空指针。

  • CVE-2017-7659

处理构造的HTTP/2请求时,会造成mod_http2间接引用空指针,或造成服务器进程崩溃。

  • CVE-2017-7668

在令牌列表解析中存在bug,可使ap_find_token()搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制ap_find_token()返回错误值。

  • CVE-2017-7679

恶意攻击者发送恶意Content-Type响应头时,mod_mime会造成缓冲区越界读。

漏洞利用条件和方式:

远程利用

漏洞影响范围:

  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到2.2.32版本
  • CVE-2017-7668:Apache HTTP Web Server 2.2.32版本
  • CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.4.0到2.4.25版本
  • CVE-2017-7659, CVE-2017-7668:Apache HTTP Web Server 2.4.25版本

漏洞检测:

自查Apache http版本是否在受影响范围内

        apachectl -v    
        或者    
        httpd -v

漏洞修复建议(或缓解措施):

  • Apache httpd 2.4版本用户升级到2.4.26
  • Apache httpd httpd 2.2版本用户升级到2.2.33-dev

文章转载自 开源中国社区 [http://www.oschina.net]

weixin_34226182
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache HTTP Server从2.4.25升级到2.4.33工作记录
weixin_30312563的博客
06-22 1505
1 背景 1.1 环境 1.2 历史情况 最早已经部署了一版Apache2.2(2.2.15),目的应该是做外网到内网的映射,配置应该是临时安排我来做的(以前没有相关经验)。后续又做了一次升级(原因已经记不清了),升级到目前的2.4.25。 1.3 升级到2.4.33的原因 为了解决以下漏洞(...
Apache httpd 出现多个漏洞 可能引发DoS攻击 2.2.x及2.4.x版本受影响
weixin_34004576的博客
09-01 5026
近日,Apache 官方发布了httpd的新版本修复了多个安全漏洞,涉及CVE-2017-3167,CVE-2017-3169,CVE-2017-7659,CVE-2017-7668,CVE-2017-7679,可以造成身份验证被绕过以及拒绝服务攻击等。大部分Apache httpd 2.2.x以及2.4.x版本均受影响。相关漏洞信息如下: CVE...
Apache安全漏洞
qq_43665434的博客
05-10 5799
Apache安全漏洞 1、Apache中间件介绍 Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。 简单来说就是一个好用的,并且能支持基础的HTML、PHP、Perl、Python等语言。很强 常见目录: bin ------------- 存放常用的命令工具。例如httpd cgi-bin -------
apache2.4.7漏洞_Web中间件漏洞Apache篇_小白网络安全自学
最新发布
程序员六七的博客
06-12 223
Apache简介Apache 是世界使用排名第一的 Web 服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用
php 漏洞 怎么解决,php安全漏洞怎么修复?
weixin_39869693的博客
03-09 3781
该楼层疑似违规已被系统折叠隐藏此楼查看此楼PHP PHAR扩展安全漏洞(CVE-2016-4072)PHP ‘php_filter_encode_url’函数整数溢出漏洞(CVE-2016-4345)PHP ‘str_pad’函数整数溢出漏洞(CVE-2016-4346)PHP‘wddx_stack_destroy’函数释放后重用漏洞(CVE-2016-7413)PHP Calendar...
CVE-2022-31692 Spring Security Oauth2 Client权限提升漏洞
LJQClqjc的博客
11-03 1515
棱镜七彩漏洞深度分析
中间件安全Apache常见漏洞
剁椒鱼头没剁椒的博客
02-20 7263
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。apache httpd支持一个文件多个后缀,windows对于多后缀的识别是看最后一个“.”之后的后缀名。apache对于多后缀文件的识别是从后往前识别,最后一个后缀不能被识别时,会往前识别。
installer-apache-httpd:Apache HTTPD安装程序
03-29
installer-apache-http Apache HTTPD安装程序这是的自定义安装程序,基于构建自定义配置: 仅本地主机rotationlogsw-日志旋转执照版权所有(c)Grigore Stefan 根据许可获得许可。 这是不同作品的汇编。 某些文件受...
mod_h2:Apache httpd的HTTP2模块
02-20
该存储库包含来自Apache httpd的mod_h[ttp]2和mod_proxy_h[ttp]2作为独立构建。 它可以作为对功能和修补程序的早期访问,然后在下一个Apache版本中发布。 这两个模块都可以视为生产就绪的产品,并且与Apache项目...
mod_setenvifplus:Apache httpd模块设置环境变量-开源
04-25
**Apache httpd模块setenvifplus详解** Apache httpd服务器是全球广泛使用的Web服务器软件,其强大之处在于可以通过各种模块扩展功能。`mod_setenvifplus`是其中一个重要的模块,专用于设置环境变量和响应头,基于...
mod_auth_oid:Apache httpd的OpenID依赖方-开源
04-25
综上所述,mod_auth_oid为Apache httpd服务器提供了对OpenID 2.0的支持,使得用户能够使用单一的OpenID标识安全地登录到多个网站,同时减轻了网站管理员维护用户账户的负担。了解和正确使用mod_auth_oid,可以提升...
Apache 2.2.14 Exp
03-29
Apache 2.2.14 Exp Apache 2.2.14 Exp
apache httpd-2.4.59
04-15
这个版本,"Apache httpd-2.4.59",是该服务器软件的一个更新迭代,旨在提供性能优化、安全增强以及功能扩展。让我们深入探讨这个版本的一些关键特性、功能和改进。 1. **版本升级与兼容性**: Apache httpd-2.4....
Apache Http Server安全漏洞解决
热门推荐
DaiSnow的博客
04-21 1万+
场景:公司使用的大数据集群云服务器,安全扫描出严重漏洞,扫描漏洞如下: 安全漏洞扫描报告 端口 协议 服务 严重等级 漏洞 – ICMP – 弱 ICMP timestamp请求响应漏洞 – UDP – 弱 允许Traceroute探测 80 TCP http 严重 严重 严重 严重 严重 弱 OpenSSL 安全漏洞(CVE-2022-0778) Apache HTTP Server 环境问题漏洞(CVE-2022-22720) Apache HTTP Server 输入验证错误漏
【中间件漏洞Apache HTTPD 漏洞全集复现(基于Vulhub平台)
Continuejww的博客
09-11 806
①CVE-2017-15715 ②多后缀解析漏洞 ③远程命令执行漏洞 ④CVE-2021-41773 ⑤CVE-2021-42013 ⑥CVE-2021-40438
生产漏洞修复总结
duanbiren123的博客
07-08 5329
1、 修复ssh相关漏洞 漏洞列表: OpenSSH auth_password函数拒绝服务漏洞(CVE-2016-6515) OpenSSH do_setup_env函数权限提升漏洞(CVE-2015-8325) OpenSSH glob表达式拒绝服务漏洞(CVE-2010-4755) OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478) Openssh MaxAu...
apache httpd漏洞合集
weixin_46626737的博客
07-02 545
就是上传文件,在1.php文件名后面加一个0x0ahex值进行一个绕过,恰好有解析漏洞,将1.php%0a当做1.php执行。--#exec cmd="id" -->,直接访问,就会显示。3.Apache HTTP Server路径穿越漏洞(CVE-2021-41773、CVE-2021-42013)上传文件,bp抓包修改为123.php.jpg,访问其路径,会以php格式执行。漏洞版本:Apache HTTP Server 2.4.49-2.4.50。漏洞版本:通用,得看是否开启了ssi组件。
httpd服务器常见漏洞修复,网站安全监测以及漏洞修复过程
weixin_39581716的博客
08-05 725
删除Tomcat 中的doc、manager目录,或者权限设置,禁止对外开发该目录和访问该服务。仅允许访问控制中选择的、受信任的域允许源头。a、设置登录验证码防止爆破,但设计不好的验证码是可以绕过的。b、设置账户锁定,设置一定次数的登录尝试失败,则锁定账户一段时间。建议按照网站的密级要求,需要对密码传输过程中进行加密得使用加密的方式传输,如使用HTTPS,但加密的方式增加成本,或许会影响用户体验。...
apache httpd 解析漏洞
07-17 510
漏洞背景:apache通过mod_php来运行脚本,其2.4.0-2.4.29中存在apache换行解析漏洞,在解析php时xxx.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。该漏洞属于用户配置不当产生的漏洞,与具体中间件版本无关。与其说这是漏洞,不如说是apache的特性,就是我们平常所说的从右向左解析是一样的。当apache遇到无法识别解析的文件后缀时,会向前解析,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值