这里有新鲜出炉的精品教程,程序狗速度看过来!
Apache 是世界使用排名第一的 Web 服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的 Web 服务器端软件。
漏洞编号:
漏洞名称:
Apache httpd 多个安全漏洞
官方评级:
高危
漏洞描述:
第三方模块在身份验证阶段使用 ap_get_basic_auth_pw(),会导致绕过身份验证要求。
第三方模块在 HTTP 请求 HTTPS 端口时,若调用 ap_hook_process_connection(),则 mod_ssl 会间接引用空指针。
处理构造的 HTTP/2 请求时,会造成 mod_http2 间接引用空指针,或造成服务器进程崩溃。
在令牌列表解析中存在 bug,可使 ap_find_token() 搜索输入字符串之外的内容,通过构造的请求头序列,攻击者可造成段故障,或强制 ap_find_token() 返回错误值。
恶意攻击者发送恶意 Content-Type 响应头时,mod_mime 会造成缓冲区越界读。
漏洞利用条件和方式:
远程利用
漏洞影响范围:
漏洞检测:
自查 Apache http 版本是否在受影响范围内
- apachectl - v或者httpd - v
漏洞修复建议 (或缓解措施):
来源: http://www.phperz.com/article/17/0620/336655.html