2017年7月18日,百度安全指数平台发布了另一篇关于Apache httpd新版本发布修复的两个高风险漏洞的文章,肖凯seo博客转载并与朋友分享。本文链接为:https://bsi.baidu.com/article/detail/90,主体如下:
漏洞描述
2017年7月11日,Apache HTTP Server项目发布Apache 2 . 4 . 27版。其中,两个高风险漏洞CVE-2017-9788和CVE-2017-9789已修复。Apache Foundation认为这个版本是Apache现有的最好版本,建议所有以前版本的用户升级。
CVE-2017-9788:mod _ auth _ Digest
to mod _ auth _ Digest中未初始化的内存反射,在连续的key=value赋值之前或之间,没有初始化或重置“Digest”类型的[Proxy-]授权头中的占位符。
提供不带'='分配的初始密钥可能会反映先前请求的未初始化内存池的陈旧值,从而导致潜在机密信息的泄漏和segfault。
CVE-2017-9789:mod _ HTTP 2
中的free后读当Apache httpd访问压力较大时,关闭多个连接,HTTP/2处理代码有时被释放后访问内存,导致操作不稳定。
impact version
CVE-2017-9788:2 . 4 . 26,2.4.25,2.4.23,2.4.20,2.4.18,2.4.17,2.4.16,2.4.16。2.4.1
CVE-2017-9789: 2.4.26
漏洞等级:高风险
修复建议
1,将Apache httpd升级到2 . 4 . 27;
2、使用百度云加速WAF防火墙进行防御;
3。将网站添加到安全索引中,及时了解网站组件突发/0天漏洞。
了解更多
http://httpd.apache.org/security/vulnerabilities_24.html
https://www.apache.org/dist/httpd/Announcement2.4.txt
59
59
59
59
59
59
59
59
59
59