1. 概述:
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7有httpd可用的更新���。
中標(biāo)軟件產(chǎn)品安全經(jīng)評(píng)定此更新對(duì)產(chǎn)品安全有重要意義����。
2. 相關(guān)版本/架構(gòu):
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7-X86_64����。
3. 描述:
httpd軟件包集成了Apache HTTP Server����。Apache是一種功能強(qiáng)大,高效��,可擴(kuò)展的Web服務(wù)器軟件�����。
4. 安全加固:
*發(fā)現(xiàn)一個(gè)httpd的mod_session_crypto模塊的漏洞�,該漏洞導(dǎo)致沒有使用任何機(jī)制來驗(yàn)證用戶瀏覽器中加密會(huì)話數(shù)據(jù)的完整性。遠(yuǎn)程攻擊者可以利用這個(gè)漏洞通過Padding Oracle(在解密時(shí)��,如果算法發(fā)現(xiàn)解密后得到的結(jié)果����,它的填充方式不符合規(guī)則����,那么表示輸入數(shù)據(jù)有問題���,對(duì)于解密的類庫來說���,往往便會(huì)拋出一個(gè)異常,這就是Padding Oracle)攻擊手段進(jìn)行破解與修改會(huì)話數(shù)據(jù)���。(CVE-2016-0736)
*發(fā)現(xiàn)一個(gè)httpd的mod_auth_digest模塊的漏洞����,該漏洞導(dǎo)致不能正確檢測(cè)出內(nèi)存分配的相關(guān)錯(cuò)誤���。如果服務(wù)器使用HTTP摘要驗(yàn)證����,遠(yuǎn)程攻擊者可以使用這個(gè)漏洞導(dǎo)致httpd子進(jìn)程反復(fù)崩潰����。(CVE-2016-2161)
*發(fā)現(xiàn)HTTP解析器允許解析某些特定字符�����,而這些特定字符卻是HTTP協(xié)議規(guī)范中不允許在非加密HTTP請(qǐng)求頭中出現(xiàn)的字符。當(dāng)httpd服務(wù)器對(duì)這些特定字符進(jìn)行解析的時(shí)候�,作為配合代理服務(wù)器使用與作為后端服務(wù)器使用,這兩種情況產(chǎn)生不同的語義解析���。遠(yuǎn)程攻擊者可能會(huì)利用這個(gè)漏洞在HTTP響應(yīng)過程中注入非法數(shù)據(jù)�,從而導(dǎo)致代理服務(wù)器上產(chǎn)生錯(cuò)誤����。(CVE-2016-8743)
5. 缺陷修復(fù):
*如果大量的httpd子進(jìn)程在httpd服務(wù)重啟之前處于活躍狀態(tài),httpd服務(wù)重啟后�����,會(huì)嘗重新試建立這些連接��,與此同時(shí)也會(huì)建立一些非必要的連接����,這會(huì)導(dǎo)致httpd服務(wù)需要花費(fèi)很長(zhǎng)時(shí)間才能完成。修復(fù)后��,通過限制httpd服務(wù)重啟過程中需要啟動(dòng)子進(jìn)程的數(shù)量,使上述問題不再發(fā)生���。
*在容器中運(yùn)行的httpd服務(wù)器���,當(dāng)一個(gè)建立連接的WebSocket關(guān)閉時(shí)候,http會(huì)返回500錯(cuò)誤碼��,但將此返回值不能正確的發(fā)送到客戶端�����。通過此次修復(fù)��,上述問題將不再發(fā)生�����。
*使用mod_authnz_ldap模塊進(jìn)行LDAP認(rèn)證過程中����,AuthLDAPBindDN設(shè)置會(huì)發(fā)生錯(cuò)誤,從而導(dǎo)致綁定的LDAP服務(wù)器查詢失敗��。已經(jīng)修復(fù)此缺陷���。
6. 安裝包列表:
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V7
源碼包:
httpd-2.4.6-45.el7_3.4.src.rpm
x86_64二進(jìn)制包:
httpd-2.4.6-45.el7_3.4.x86_64.rpm
httpd-debuginfo-2.4.6-45.el7_3.4.x86_64.rpm
httpd-devel-2.4.6-45.el7_3.4.x86_64.rpm
httpd-tools-2.4.6-45.el7_3.4.x86_64.rpm
mod_ssl-2.4.6-45.el7_3.4.x86_64.rpm
