2017年7月18日百度安全指数平台又发布了一篇关于Apache httpd新版本发布所修复的两个高危漏洞,小凯seo博客转载过来和朋友们分享一下。本文转载内容链接是:https://bsi.baidu.com/article/detail/90,正文部分如下:
漏洞描述
2017年7月11日,Apache HTTP Server项目发布Apache 2.4.27版本,其中修复两个高危漏洞CVE-2017-9788和CVE-2017-9789,Apache基金会认为这个版本是Apache可用的最佳版本建议所有先前版本的用户进行升级。
CVE-2017-9788:Uninitialized memory reflection in mod_auth_digest
通过mod_auth_digest,“Digest”类型的[Proxy-]授权头中占位符在连续的key =值分配之前或之间未初始化或重置。
提供没有’=’分配的初始密钥可以反射先前请求使用的未初始化的内存池的陈旧值,导致潜在机密信息的泄漏和segfault。
CVE-2017-9789:Read after free in mod_http2
在Apache httpd访问压力较大时,关闭多个连接,HTTP/2处理代码有时会在释放后访问内存,导致不稳定操作。
影响版本
CVE-2017-9788:2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1
CVE-2017-9789:2.4.26
漏洞等级:高危
修复建议
1、升级Apache httpd 到2.4.27;
2、使用百度云加速WAF防火墙进行防御;
3、添加网站至安全指数,及时了解网站组件突发/0day漏洞。
了解更多
http://httpd.apache.org/security/vulnerabilities_24.html
https://www.apache.org/dist/httpd/Announcement2.4.txt