Httpd是Apache超文本传输协议(HTTP)服务器的主程序。设计为独立运行的后台进程,它将建立一个处理请求的子进程或线程池。一般不应该直接调用httpd,应该在类似Unix的系统中由apachectl调用,在Windows NT/2000/XP/2003中作为服务运行,在Windows 95/98/ME中作为控制台程序运行。(百度百科)
漏洞描述
Apache httpd有很多高风险漏洞,包括:
CVE-2017-3167
第三方模块在认证阶段使用ap_get_basic_auth_pw(),可能导致绕过认证。
CVE-2017-3169
如果HTTP请求HTTPS端口时第三方模块调用ap_hook_process_connection(),mod_ssl会间接引用null指针。
CVE-2017-7659
处理构造的HTTP/2请求时,会导致mod_http2间接引用空指针或者导致服务器进程崩溃。
CVE-2017-7668
令牌列表解析有一个bug,可以让ap_find_token()搜索输入字符串以外的东西。通过构造的请求头序列,攻击者可以导致段失败或强制ap_find_token()返回错误值。
CVE-2017-7679
当恶意攻击者发送恶意的内容类型响应头时,mod_mime将导致缓冲区被读取到边界之外。
impact version
CVE-2017-3167,CVE-2017-3169,CVE-2017-7679: Apache http web服务器版本2.2.0到2 . 2 . 32
CVE-2017-7668:Apache http web服务器版本2.2.32
CVE-2017-3167,CVE-2017-3169,CVE-2017-7679:
3。将网站添加到安全索引中,及时知道网站组件burst /0day漏洞。
59
59
59
59
59
59
59
59
59
59