公告ID(KYSA-202208-1012)
公告ID:KYSA-202208-1012
公告摘要:httpd安全漏洞
等級:Important
發(fā)布日期:2022-08-09
詳細介紹
1.修復的CVE
·CVE-2014-0226
描述:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務器。mod_status是其中的一個用于生成描述服務器狀態(tài)的Web頁面的模塊����。Apache HTTP Server 2.4.1至2.4.9版本的mod_status模塊的modules/generators/mod_status.c文件中的‘status_handler’函數(shù)和modules/lua/lua_request.c文件中的‘lua_ap_scoreboard_worker’函數(shù)存在競爭條件漏洞。遠程攻擊者可通過發(fā)送特制的請求利用該漏洞造成拒絕服務(基于堆的緩沖區(qū)溢出)���,或獲取敏感信息����,也可能執(zhí)行任意代碼�。
·CVE-2017-9796
描述:Apache Geode cluster是美國阿帕奇(Apache)軟件基金會的一套應用于分布式云架構中提供對數(shù)據(jù)密集型應用程序?qū)崟r和一致訪問數(shù)據(jù)的管理平臺����。Apache Geode cluster 1.3.0之前版本中存在安全漏洞�。攻擊者可利用該漏洞執(zhí)行OQL查詢�����,讀取未授權區(qū)域的對象�����。
·CVE-2017-9798
描述:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務器���。該服務器具有快速���、可靠且可通過簡單的API進行擴充的特點。Apache HTTP Server 2.2.34及之前的版本和2.4.x版本至2.4.27版本中存在雙重釋放漏洞����。攻擊者可通過發(fā)送未經(jīng)身份驗證的OPTIONS HTTP請求利用該漏洞讀取進程內(nèi)存中的數(shù)據(jù)。
2.受影響的軟件包
·中標麒麟高級服務器操作系統(tǒng) V6
·x86_64架構:
httpd��、httpd-devel���、httpd-manual����、httpd-tools、mod_ssl
3.軟件包修復版本
·中標麒麟高級服務器操作系統(tǒng) V6 (x86_64)
httpd-2.2.15-60.el6_9.6.ns6.01或以上版本
httpd-devel-2.2.15-60.el6_9.6.ns6.01或以上版本
httpd-manual-2.2.15-60.el6_9.6.ns6.01或以上版本
httpd-tools-2.2.15-60.el6_9.6.ns6.01或以上版本
mod_ssl-2.2.15-60.el6_9.6.ns6.01或以上版本
4.修復方法
方法一:配置源進行升級安裝
1.打開軟件包源配置文件����,根據(jù)倉庫地址進行修改。
倉庫源地址:
中標麒麟高級服務器操作系統(tǒng) V6
x86_64:https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/
2.配置完成后執(zhí)行更新命令進行升級�,命令如下:
yum update Packagename
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包,使用軟件包升級命令根據(jù)受影響的軟件包
列表進行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務或操作系統(tǒng):
CVE-2014-0226:需要重啟 httpd 以使漏洞修復生效�����。
CVE-2017-9796:需要重啟 httpd 以使漏洞修復生效�����。
CVE-2017-9798:需要重啟 httpd 以使漏洞修復生效��。
5.軟件包下載地址
·中標麒麟高級服務器操作系統(tǒng) V6
httpd(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/httpd-2.2.15-60.el6_9.6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/httpd-devel-2.2.15-60.el6_9.6.ns6.01.i686.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/httpd-devel-2.2.15-60.el6_9.6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/httpd-manual-2.2.15-60.el6_9.6.ns6.01.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/httpd-tools-2.2.15-60.el6_9.6.ns6.01.x86_64.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/updates/x86_64/Packages/mod_ssl-2.2.15-60.el6_9.6.ns6.01.x86_64.rpm
注:其他相關依賴包請到相同目錄下載
6.修復驗證
使用軟件包查詢命令�����,查看相關軟件包版本是否與修復版本一致�,如果版本一致,則說明修復成功�。
sudo rpm -qa | grep Packagename
安全漏洞補丁公告
