1. 概述:
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V6有httpd可用的更新�。
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7有httpd可用的更新。
中標(biāo)軟件產(chǎn)品安全經(jīng)評(píng)定此更新對(duì)產(chǎn)品安全有重要意義�����。
2. 相關(guān)版本/架構(gòu):
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V6-X86_64。
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7-X86_64�。
3. 描述:
httpd軟件包集成了Apache HTTP Server。Apache是一個(gè)功能強(qiáng)大���,高效���,可擴(kuò)展的Web服務(wù)器軟件。
4. 安全更新:
*httpd模塊mod_auth_digest中發(fā)現(xiàn)一個(gè)軟件缺陷����,在利用該模塊進(jìn)行認(rèn)證之前會(huì)發(fā)生初始化內(nèi)存的錯(cuò)誤。遠(yuǎn)程攻擊者利用該缺陷可以泄漏潛在的敏感信息或者引起httpd子進(jìn)程崩潰���。(CVE-2017-9788 CVSS3評(píng)分:4.8)
*在httpd處理認(rèn)證以外的過程中調(diào)用ap_get_basic_auth_pw()函數(shù)會(huì)導(dǎo)致認(rèn)證失效�。遠(yuǎn)程攻擊者利用該缺陷會(huì)繞過在這種情況下的認(rèn)證過程��。(CVE-2017-3167 CVSS3評(píng)分:7.4)
*httpd模塊mod_ssl發(fā)現(xiàn)空指針缺陷���。遠(yuǎn)程攻擊者利用該缺陷可以導(dǎo)致httpd子進(jìn)程崩潰�����。(CVE-2017-3169 CVSS3評(píng)分:3.7)
*httpd模塊mod_mime發(fā)現(xiàn)越址讀取缺陷��。本地用戶修改httpd的MIME配置可能會(huì)引起httpd子進(jìn)程崩潰��。(CVE-2017-7679 CVSS3評(píng)分:3.7)
*httpd函數(shù)ap_find_token()中發(fā)現(xiàn)越址讀取缺陷����。遠(yuǎn)程攻擊者利用該缺陷可以導(dǎo)致httpd子進(jìn)程崩潰。(CVE-2017-7668 CVSS3評(píng)分:6.5 V7版本存在)
5. 安裝包列表:
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V6:
源碼包:
httpd-2.2.15-60.el6_9.5.src.rpm
x86_64二進(jìn)制包:
httpd-2.2.15-60.el6_9.5.x86_64.rpm
httpd-debuginfo-2.2.15-60.el6_9.5.i686.rpm
httpd-debuginfo-2.2.15-60.el6_9.5.x86_64.rpm
httpd-devel-2.2.15-60.el6_9.5.i686.rpm
httpd-devel-2.2.15-60.el6_9.5.x86_64.rpm
httpd-tools-2.2.15-60.el6_9.5.x86_64.rpm
mod_ssl-2.2.15-60.el6_9.5.x86_64.rpm
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7:
源碼包:
httpd-2.4.6-67.el7_4.2.src.rpm
x86_64二進(jìn)制包:
httpd-2.4.6-67.el7_4.2.x86_64.rpm
httpd-debuginfo-2.4.6-67.el7_4.2.x86_64.rpm
httpd-devel-2.4.6-67.el7_4.2.x86_64.rpm
httpd-tools-2.4.6-67.el7_4.2.x86_64.rpm
mod_session-2.4.6-67.el7_4.2.x86_64.rpm
mod_ssl-2.4.6-67.el7_4.2.x86_64.rpm
