漏洞描述

Apache httpd存在多個高危漏洞⒜⒝⒞⒟⒠⒡⒢⒣⒤，包括：

CVE-2017-3167

第三方模塊在身份驗證階段使用ap_get_basic_auth_pw()㈠㈡㈢㈣㈤㈥㈦，會導致繞過身份驗證㊀㊁㊂㊃㊄㊅㊆㊇㊈㊉。

CVE-2017-3169

第三方模塊在HTTP請求HTTPS端口時⒃⒄⒅⒆⒇⒈⒉⒊⒋⒌⒍⒎⒏⒐⒑⒒⒓，若調用ap_hook_process_connection()✺ϟ☇♤♧♡♢♠♣♥，則mod_ssl會間接引用空指針⑰⑱⑲⑳⓪⓿❶❷❸❹❺。

CVE-2017-7659

處理構造的HTTP/2請求時㈧㈨㈩⑴⑵⑶⑷⑸⑹⑺⑻⑼⑽⑾⑿⒀⒁⒂，會造成mod_http2間接引用空指針⒔⒕⒖⒗⒘⒙⒚⒛ⅠⅡⅢⅣⅤⅥⅦⅧⅨⅩⅪⅫⅰⅱ，或造成服務器進程崩潰ⓚⓛⓜⓝⓞⓟⓠⓡⓢ。

CVE-2017-7668

在令牌列表解析中存在bug❣❦❧♡۵，可使ap_find_token()搜索輸入字符串之外的內容ⓊⓋⓌⓍⓎⓏⓐⓑⓒⓓⓔⓕⓖⓗⓘⓙ，通過構造的請求頭序列✺ϟ☇♤♧♡♢♠♣♥，攻擊者可造成段故障ⓚⓛⓜⓝⓞⓟⓠⓡⓢ，或強制ap_find_token()返回錯誤值✤✥❋✦✧✩✰✪✫✬✭✮✯❂✡★✱✲✳✴。

CVE-2017-7679

惡意攻擊者發送惡意Content-Type響應頭時❣❦❧♡۵，mod_mime會造成緩沖區越界讀ⓣⓤⓥⓦⓧⓨⓩ。

影響版本

CVE-2017-3167, CVE-2017-3169, CVE-2017-7679：Apache HTTP Web Server 2.2.0 到2.2.32版本
CVE-2017-7668：Apache HTTP Web Server 2.2.32版本
CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:：Apache HTTP Web Server 2.4.0到2.4.25版本
CVE-2017-7659, CVE-2017-7668:：Apache HTTP Web Server 2.4.25版本

漏洞等級

高危

修復建議

1♦☜☞☝✍☚☛☟✌✽✾✿❁❃、Apache httpd 2.4版本用戶升級到2.4.26ⅲⅳⅴⅵⅶⅷⅸⅹⒶⒷⒸⒹ，Apache httpd httpd 2.2版本用戶升級到2.2.33-dev❋❀⚘☑✓✔√☐☒✗✘ㄨ✕✖✖⋆✢✣。
2ⅲⅳⅴⅵⅶⅷⅸⅹⒶⒷⒸⒹ、使用 百度云加速 WAF防火墻進行防御①②③④⑤⑥⑦⑧⑨⑩⑪⑫⑬⑭⑮⑯。
3㈧㈨㈩⑴⑵⑶⑷⑸⑹⑺⑻⑼⑽⑾⑿⒀⒁⒂、添加網站至 安全指數 ⒜⒝⒞⒟⒠⒡⒢⒣⒤，及時了解網站組件突發/0day漏洞ⓚⓛⓜⓝⓞⓟⓠⓡⓢ。

了解更多

https://httpd.apache.org/security/vulnerabilities_22.html