公告ID(KYSA-202407-1090)
公告ID:KYSA-202407-1090
公告摘要:httpd安全漏洞
等級:Important
發(fā)布日期:2024-07-23
詳細介紹
1.修復(fù)的CVE
·CVE-2023-38709
描述:Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器。該服務(wù)器具有快速�、可靠且可通過簡單的API進行擴充的特點。
Apache HTTP Server 2.4.58版本及之前版本存在安全漏洞�����,該漏洞源于輸入驗證不正確。
·CVE-2024-24795
描述:Apache HTTP Server具有快速��、可靠且可通過簡單的API進行擴充的特點����。
Apache HTTP Server存在安全漏洞。攻擊者利用該漏洞將惡意響應(yīng)標(biāo)頭注入后端應(yīng)用程序��,從而引發(fā) HTTP 去同步攻擊�。
·CVE-2024-27316
描述:Apache httpd是美國阿帕奇(Apache)基金會的一款專為現(xiàn)代操作系統(tǒng)開發(fā)和維護的開源HTTP服務(wù)器。
Apache httpd 存在資源管理錯誤漏洞�����,該漏洞源于允許客戶端不停發(fā)送 HTTP/2 標(biāo)頭����,導(dǎo)致內(nèi)存耗盡。
·CVE-2024-36387
描述:Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器���。該服務(wù)器具有快速�����、可靠且可通過簡單的API進行擴充的特點�����。
Apache HTTP Server 存在代碼問題漏洞���,該漏洞源于通過 HTTP/2 連接提供 WebSocket 協(xié)議升級可能會導(dǎo)致空指針取消引用�,從而導(dǎo)致服務(wù)器進程崩潰�,降低性能。
·CVE-2024-38472
描述:Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器�����。該服務(wù)器具有快速��、可靠且可通過簡單的API進行擴充的特點�����。
Apache HTTP Server 2.4.59及之前版本存在安全漏洞����,該漏洞源于存在服務(wù)端請求偽造漏洞(SSRF)��,允許攻擊者通過惡意請求或內(nèi)容泄露NTML哈希值��。
·CVE-2024-38473
描述:Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器。該服務(wù)器具有快速�����、可靠且可通過簡單的API進行擴充的特點��。
Apache HTTP Server 2.4.59及之前版本中存在安全漏洞�����,該漏洞源于mod_proxy存在編碼問題�����,可能通過精心設(shè)計的請求繞過身份驗證�����。
·CVE-2024-38474
描述:Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器����。該服務(wù)器具有快速、可靠且可通過簡單的API進行擴充的特點��。
Apache HTTP Server 2.4.59及之前版本存在安全漏洞,該漏洞源于mod_rewrite存在替換編碼問題�����,允許攻擊者在配置允許的目錄中執(zhí)行腳本���。
·CVE-2024-38475
描述:A flaw was found in the Apache HTTP Server. Due to improper escaping of output in mod_rewrite, this flaw allows an attacker to map URLs to filesystem locations permitted to be served by the server but are not intentionally or directly reachable by any URL, resulting in code execution or source code disclosure.
·CVE-2024-38477
描述:Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器��。該服務(wù)器具有快速��、可靠且可通過簡單的API進行擴充的特點�����。
Apache HTTP Server 2.4.59及之前版本存在代碼問題漏洞���,該漏洞源于空指針取消引用,允許攻擊者通過惡意請求使服務(wù)器崩潰����。
·CVE-2024-39573
描述:Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器��。該服務(wù)器具有快速��、可靠且可通過簡單的API進行擴充的特點�。
Apache HTTP Server 2.4.59及之前版本存在輸入驗證錯誤漏洞���,該漏洞源于容易受到服務(wù)端請求偽造(SSRF)攻擊。
·CVE-2024-39884
描述:Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器���。該服務(wù)器具有快速�����、可靠且可通過簡單的API進行擴充的特點����。
Apache HTTP Server 2.4.60版本存在安全漏洞����,該漏洞源于忽略了對某些基于舊內(nèi)容類型的配置使用,會導(dǎo)致本地內(nèi)容的源代碼泄露��。
2.受影響的軟件包
·銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP1
·loongarch64架構(gòu):
httpd-tools�、httpd-help、mod_session��、mod_ldap����、httpd�����、mod_proxy_html����、mod_md���、httpd-devel����、mod_ssl���、httpd-filesystem
3.軟件包修復(fù)版本
·銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP1 (loongarch64)
mod_proxy_html-2.4.43-25.p02.a.ky10或以上版本
httpd-filesystem-2.4.43-25.p02.a.ky10或以上版本
httpd-tools-2.4.43-25.p02.a.ky10或以上版本
httpd-help-2.4.43-25.p02.a.ky10或以上版本
mod_ssl-2.4.43-25.p02.a.ky10或以上版本
mod_session-2.4.43-25.p02.a.ky10或以上版本
mod_md-2.4.43-25.p02.a.ky10或以上版本
httpd-2.4.43-25.p02.a.ky10或以上版本
mod_ldap-2.4.43-25.p02.a.ky10或以上版本
httpd-devel-2.4.43-25.p02.a.ky10或以上版本
4.修復(fù)方法
方法一:配置源進行升級安裝
1.打開軟件包源配置文件��,根據(jù)倉庫地址進行修改���。
倉庫源地址:
銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP1
loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/
2.配置完成后執(zhí)行更新命令進行升級,命令如下:
yum update Packagename
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包�,使用軟件包升級命令根據(jù)受影響的軟件包
列表進行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2023-38709:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2024-24795:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2024-27316:需要重啟 httpd 以使漏洞修復(fù)生效����。
CVE-2024-36387:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2024-38472:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2024-38473:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2024-38474:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2024-38475:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2024-38477:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2024-39573:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2024-39884:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
5.軟件包下載地址
·銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP1
httpd(loongarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/httpd-tools-2.4.43-25.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/mod_ldap-2.4.43-25.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/mod_md-2.4.43-25.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/mod_proxy_html-2.4.43-25.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/mod_session-2.4.43-25.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/httpd-2.4.43-25.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/httpd-filesystem-2.4.43-25.p02.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/httpd-help-2.4.43-25.p02.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/httpd-devel-2.4.43-25.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/mod_ssl-2.4.43-25.p02.a.ky10.loongarch64.rpm
注:其他相關(guān)依賴包請到相同目錄下載
6.修復(fù)驗證
使用軟件包查詢命令,查看相關(guān)軟件包版本是否與修復(fù)版本一致���,如果版本一致��,則說明修復(fù)成功�����。
sudo rpm -qa | grep Packagename
