公告ID(KYSA-202407-1088)
公告ID:KYSA-202407-1088
公告摘要:httpd安全漏洞
等級(jí):Important
發(fā)布日期:2024-07-23
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2023-38709
描述:Apache HTTP Server是美國(guó)阿帕奇(Apache)基金會(huì)的一款開源網(wǎng)頁(yè)服務(wù)器�����。該服務(wù)器具有快速、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)�。
Apache HTTP Server 2.4.58版本及之前版本存在安全漏洞,該漏洞源于輸入驗(yàn)證不正確����。
·CVE-2024-24795
描述:Apache HTTP Server具有快速���、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)。
Apache HTTP Server存在安全漏洞�。攻擊者利用該漏洞將惡意響應(yīng)標(biāo)頭注入后端應(yīng)用程序,從而引發(fā) HTTP 去同步攻擊����。
·CVE-2024-27316
描述:Apache httpd是美國(guó)阿帕奇(Apache)基金會(huì)的一款專為現(xiàn)代操作系統(tǒng)開發(fā)和維護(hù)的開源HTTP服務(wù)器。
Apache httpd 存在資源管理錯(cuò)誤漏洞�,該漏洞源于允許客戶端不停發(fā)送 HTTP/2 標(biāo)頭,導(dǎo)致內(nèi)存耗盡����。
·CVE-2024-36387
描述:Apache HTTP Server是美國(guó)阿帕奇(Apache)基金會(huì)的一款開源網(wǎng)頁(yè)服務(wù)器。該服務(wù)器具有快速����、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)。
Apache HTTP Server 存在代碼問(wèn)題漏洞�,該漏洞源于通過(guò) HTTP/2 連接提供 WebSocket 協(xié)議升級(jí)可能會(huì)導(dǎo)致空指針取消引用,從而導(dǎo)致服務(wù)器進(jìn)程崩潰����,降低性能。
·CVE-2024-38472
描述:Apache HTTP Server是美國(guó)阿帕奇(Apache)基金會(huì)的一款開源網(wǎng)頁(yè)服務(wù)器。該服務(wù)器具有快速��、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)����。
Apache HTTP Server 2.4.59及之前版本存在安全漏洞,該漏洞源于存在服務(wù)端請(qǐng)求偽造漏洞(SSRF)����,允許攻擊者通過(guò)惡意請(qǐng)求或內(nèi)容泄露NTML哈希值。
·CVE-2024-38473
描述:Apache HTTP Server是美國(guó)阿帕奇(Apache)基金會(huì)的一款開源網(wǎng)頁(yè)服務(wù)器��。該服務(wù)器具有快速����、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)。
Apache HTTP Server 2.4.59及之前版本中存在安全漏洞����,該漏洞源于mod_proxy存在編碼問(wèn)題�����,可能通過(guò)精心設(shè)計(jì)的請(qǐng)求繞過(guò)身份驗(yàn)證���。
·CVE-2024-38474
描述:Apache HTTP Server是美國(guó)阿帕奇(Apache)基金會(huì)的一款開源網(wǎng)頁(yè)服務(wù)器�。該服務(wù)器具有快速、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)��。
Apache HTTP Server 2.4.59及之前版本存在安全漏洞��,該漏洞源于mod_rewrite存在替換編碼問(wèn)題��,允許攻擊者在配置允許的目錄中執(zhí)行腳本�。
·CVE-2024-38475
描述:A flaw was found in the Apache HTTP Server. Due to improper escaping of output in mod_rewrite, this flaw allows an attacker to map URLs to filesystem locations permitted to be served by the server but are not intentionally or directly reachable by any URL, resulting in code execution or source code disclosure.
·CVE-2024-38477
描述:Apache HTTP Server是美國(guó)阿帕奇(Apache)基金會(huì)的一款開源網(wǎng)頁(yè)服務(wù)器。該服務(wù)器具有快速��、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)����。
Apache HTTP Server 2.4.59及之前版本存在代碼問(wèn)題漏洞,該漏洞源于空指針取消引用�����,允許攻擊者通過(guò)惡意請(qǐng)求使服務(wù)器崩潰�����。
·CVE-2024-39573
描述:Apache HTTP Server是美國(guó)阿帕奇(Apache)基金會(huì)的一款開源網(wǎng)頁(yè)服務(wù)器��。該服務(wù)器具有快速、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)����。
Apache HTTP Server 2.4.59及之前版本存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于容易受到服務(wù)端請(qǐng)求偽造(SSRF)攻擊����。
·CVE-2024-39884
描述:Apache HTTP Server是美國(guó)阿帕奇(Apache)基金會(huì)的一款開源網(wǎng)頁(yè)服務(wù)器。該服務(wù)器具有快速���、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)�����。
Apache HTTP Server 2.4.60版本存在安全漏洞�����,該漏洞源于忽略了對(duì)某些基于舊內(nèi)容類型的配置使用���,會(huì)導(dǎo)致本地內(nèi)容的源代碼泄露����。
2.受影響的軟件包
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3
·loongarch64架構(gòu):
httpd-tools、httpd-help、mod_session����、mod_ldap、httpd����、mod_proxy_html、mod_md����、mod_ssl、httpd-devel�、httpd-filesystem
3.軟件包修復(fù)版本
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3 (loongarch64)
httpd-tools-2.4.43-25.p01.a.ky10或以上版本
mod_proxy_html-2.4.43-25.p01.a.ky10或以上版本
mod_ldap-2.4.43-25.p01.a.ky10或以上版本
mod_md-2.4.43-25.p01.a.ky10或以上版本
httpd-2.4.43-25.p01.a.ky10或以上版本
httpd-help-2.4.43-25.p01.a.ky10或以上版本
httpd-devel-2.4.43-25.p01.a.ky10或以上版本
mod_ssl-2.4.43-25.p01.a.ky10或以上版本
httpd-filesystem-2.4.43-25.p01.a.ky10或以上版本
mod_session-2.4.43-25.p01.a.ky10或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級(jí)安裝
1.打開軟件包源配置文件,根據(jù)倉(cāng)庫(kù)地址進(jìn)行修改�����。
倉(cāng)庫(kù)源地址:
銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3
loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級(jí)����,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級(jí)安裝
通過(guò)軟件包地址下載軟件包,使用軟件包升級(jí)命令根據(jù)受影響的軟件包
列表進(jìn)行升級(jí)安裝, 命令如下:
yum install Packagename
3.升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2023-38709:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2024-24795:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2024-27316:需要重啟 httpd 以使漏洞修復(fù)生效���。
CVE-2024-36387:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2024-38472:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2024-38473:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2024-38474:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2024-38475:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2024-38477:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2024-39573:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2024-39884:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
5.軟件包下載地址
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3
httpd(loongarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/mod_proxy_html-2.4.43-25.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/mod_ssl-2.4.43-25.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/mod_session-2.4.43-25.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/httpd-devel-2.4.43-25.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/mod_md-2.4.43-25.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/httpd-filesystem-2.4.43-25.p01.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/httpd-help-2.4.43-25.p01.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/mod_ldap-2.4.43-25.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/httpd-tools-2.4.43-25.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/httpd-2.4.43-25.p01.a.ky10.loongarch64.rpm
注:其他相關(guān)依賴包請(qǐng)到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令���,查看相關(guān)軟件包版本是否與修復(fù)版本一致,如果版本一致��,則說(shuō)明修復(fù)成功����。
sudo rpm -qa | grep Packagename
