1. 概述：
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7有httpd可用的更新。
中標(biāo)軟件產(chǎn)品安全經(jīng)評(píng)定此更新對(duì)產(chǎn)品安全有重要意義。

2. 相關(guān)版本/架構(gòu)：
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7-X86_64。

3. 描述：
httpd軟件包集成了Apache HTTP Server。Apache是一種功能強(qiáng)大，高效，可擴(kuò)展的Web服務(wù)器軟件。

4. 安全加固：
*發(fā)現(xiàn)一個(gè)httpd的mod_session_crypto模塊的漏洞，該漏洞導(dǎo)致沒有使用任何機(jī)制來驗(yàn)證用戶瀏覽器中加密會(huì)話數(shù)據(jù)的完整性。遠(yuǎn)程攻擊者可以利用這個(gè)漏洞通過Padding Oracle（在解密時(shí)，如果算法發(fā)現(xiàn)解密后得到的結(jié)果，它的填充方式不符合規(guī)則，那么表示輸入數(shù)據(jù)有問題，對(duì)于解密的類庫來說，往往便會(huì)拋出一個(gè)異常，這就是Padding Oracle）攻擊手段進(jìn)行破解與修改會(huì)話數(shù)據(jù)。（CVE-2016-0736）

*發(fā)現(xiàn)一個(gè)httpd的mod_auth_digest模塊的漏洞，該漏洞導(dǎo)致不能正確檢測(cè)出內(nèi)存分配的相關(guān)錯(cuò)誤。如果服務(wù)器使用HTTP摘要驗(yàn)證，遠(yuǎn)程攻擊者可以使用這個(gè)漏洞導(dǎo)致httpd子進(jìn)程反復(fù)崩潰。（CVE-2016-2161）

*發(fā)現(xiàn)HTTP解析器允許解析某些特定字符，而這些特定字符卻是HTTP協(xié)議規(guī)范中不允許在非加密HTTP請(qǐng)求頭中出現(xiàn)的字符。當(dāng)httpd服務(wù)器對(duì)這些特定字符進(jìn)行解析的時(shí)候，作為配合代理服務(wù)器使用與作為后端服務(wù)器使用，這兩種情況產(chǎn)生不同的語義解析。遠(yuǎn)程攻擊者可能會(huì)利用這個(gè)漏洞在HTTP響應(yīng)過程中注入非法數(shù)據(jù)，從而導(dǎo)致代理服務(wù)器上產(chǎn)生錯(cuò)誤。（CVE-2016-8743）

5. 缺陷修復(fù)：
*如果大量的httpd子進(jìn)程在httpd服務(wù)重啟之前處于活躍狀態(tài)，httpd服務(wù)重啟后，會(huì)嘗重新試建立這些連接，與此同時(shí)也會(huì)建立一些非必要的連接，這會(huì)導(dǎo)致httpd服務(wù)需要花費(fèi)很長(zhǎng)時(shí)間才能完成。修復(fù)后，通過限制httpd服務(wù)重啟過程中需要啟動(dòng)子進(jìn)程的數(shù)量，使上述問題不再發(fā)生。

*在容器中運(yùn)行的httpd服務(wù)器，當(dāng)一個(gè)建立連接的WebSocket關(guān)閉時(shí)候，http會(huì)返回500錯(cuò)誤碼，但將此返回值不能正確的發(fā)送到客戶端。通過此次修復(fù)，上述問題將不再發(fā)生。

*使用mod_authnz_ldap模塊進(jìn)行LDAP認(rèn)證過程中，AuthLDAPBindDN設(shè)置會(huì)發(fā)生錯(cuò)誤，從而導(dǎo)致綁定的LDAP服務(wù)器查詢失敗。已經(jīng)修復(fù)此缺陷。

6. 安裝包列表：
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7
源碼包：
httpd-2.4.6-45.el7_3.4.src.rpm

x86_64二進(jìn)制包：
httpd-2.4.6-45.el7_3.4.x86_64.rpm
httpd-debuginfo-2.4.6-45.el7_3.4.x86_64.rpm
httpd-devel-2.4.6-45.el7_3.4.x86_64.rpm
httpd-tools-2.4.6-45.el7_3.4.x86_64.rpm
mod_ssl-2.4.6-45.el7_3.4.x86_64.rpm