首页 >> 网络安全 >>漏洞利用 >> Apache HTTP Server 2.4漏洞
详细内容

Apache HTTP Server 2.4漏洞

Apache HTTP Server 2.4漏洞

此页面列出了在Apache HTTP Server 2.4的发行版本中修复的所有安全漏洞。Apache安全团队为每个漏洞都赋予了安全影响等级 -请注意,不同平台之间的等级可能会有所不同。我们还将列出已知会影响该漏洞的Apache httpd的版本,并且在尚未验证该漏洞的地方列出带有问号的版本。


请注意,如果下面显示的漏洞是在“ -dev”发行版中修复的,则意味着该修复程序已应用于开发源树,并将成为即将发布的完整版本的一部分。


请针对这些漏洞向安全团队发送评论或更正。

最初的GA版本Apache httpd 2.4.1包括对所有漏洞的修复,这些漏洞已在Apache httpd 2.2.22和所有较旧的版本中解决。有关更多信息,请查阅Apache httpd 2.2漏洞列表。


已在Apache httpd 2.4.41中修复

低: mod_proxy错误页面中的受限跨站点脚本 (CVE-2019-10092

据报道,有限的跨站点脚本问题影响了mod_proxy错误页面。攻击者可能导致错误页面上的链接被恶意篡改,而是指向他们选择的页面。仅当服务器设置为启用代理但被错误配置(以显示“代理错误”页面)的方式使用时,此漏洞才可被利用。

我们也借此机会也从许多其他内置错误消息中删除了请求数据。但是请注意,此问题并未直接影响它们,并且它们的输出已经转义以防止跨站点脚本攻击。

致谢:此问题由Matei“ Mal” Badanoiu报告

向安全团队报告2019年7月9日
公开发行2019年8月14日
更新发布2019年8月14日
影响2.4.39、2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4。 23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2, 2.4.1、2.4.0

低: mod_rewrite可能的打开重定向 (CVE-2019-10098

使用mod_rewrite配置的旨在成为自参考的重定向可能会被编码的换行符欺骗,而是重定向到请求URL中的意外URL。

致谢:这个问题是由佐佐木由纪夫发现

向安全团队报告2019年3月26日
公开发行2019年8月14日
更新发布2019年8月14日
影响2.4.39、2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4。 23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2, 2.4.1、2.4.0

中等: mod_http2,在h2连接关闭时可自由读取 (CVE-2019-10082

使用模糊的网络输入,http / 2会话处理可以在连接关闭期间被释放后读取内存。

致谢:该问题由Tripwire VERT的Craig Young发现,<vuln-report@secur3.us>。

向安全团队报告2019年4月12日
公开发行2019年8月14日
更新发布2019年8月14日
影响2.4.39、2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.32、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4。 23、2.4.20、2.4.18

中等: mod_http2,早期推送时内存损坏 (CVE-2019-10081

HTTP / 2早期推送(例如配置为“ H2PushResource”)可能会导致覆盖推送请求池中的内存,从而导致崩溃。复制的内存是配置的推送链接头值的内存,而不是客户端提供的数据。

致谢:该问题由Tripwire VERT的Craig Young发现,<vuln-report@secur3.us>。

向安全团队报告2019年4月10日
公开发行2019年8月14日
更新发布2019年8月14日
影响2.4.39、2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.32、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4。 23,2.4.20

中等: mod_http2,通过耗竭h2工作人员进行DoS攻击。 (CVE-2019-9517

恶意客户端可以通过向连接发送大量请求来执行DoS攻击,并且基本上从不读取TCP连接上的响应。根据h2工人的尺寸,可以阻止那些连接相对较少的工人。

致谢:该问题是由Netflix的Jonathan Looney发现的。

向安全团队报告2019年4月10日
公开发行2019年8月14日
更新发布2019年8月14日
影响2.4.39、2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.32、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4。 23,2.4.20

中等: CVE-2019-10097 mod_remoteip:堆栈缓冲区溢出和NULL指针取消引用 (CVE-2019-10097

当mod_remoteip配置为使用通过“ PROXY”协议使用的可信中介代理服务器时,特制的PROXY标头可能会触发堆栈缓冲区溢出或NULL指针引用。此漏洞只能由受信任的代理而不是不受信任的HTTP客户端触发。

致谢:该问题由Daniel McCarney <cpu@letsencrypt.org>发现,让我们加密/互联网安全研究小组(ISRG)

向安全团队报告2019年7月23日
公开发行2019年8月14日
更新发布2019年8月14日
影响2.4.38、2.4.37、2.4.35、2.4.34、2.4.33


已在Apache httpd 2.4.39中修复

重要: 模块脚本中的Apache HTTP Server特权升级 (CVE-2019-0211

在Apache HTTP Server 2.4版本2.4.17至2.4.38中,具有MPM事件,工作程序或前叉,在特权较少的子进程或线程中执行的代码(包括由进程内脚本解释器执行的脚本)可以使用以下命令执行任意代码:通过操纵计分板获得父进程(通常是root)的特权。非Unix系统不受影响。

致谢:该问题由Charles Fol发现。

向安全团队报告2019年2月22日
公开发行2019年4月1日
更新发布2019年4月1日
影响2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4。 20、2.4.18、2.4.17

重要: mod_auth_digest访问控制旁路 (CVE-2019-0217

在Apache HTTP Server 2.4版本2.4.38和更低版本中,在线程服务器中运行时,mod_auth_digest中的竞争条件可能允许具有有效凭据的用户使用其他用户名进行身份验证,从而绕过配置的访问控制限制。

致谢:该问题由Simon Kappel发现。

向安全团队报告2019年1月29日
公开发行2019年4月1日
更新发布2019年4月1日
影响2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4。 20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1, 2.4.0

重要: mod_ssl访问控制旁路 (CVE-2019-0215

在Apache HTTP Server 2.4版本2.4.37和2.4.38中,当将基于位置的客户端证书验证与TLSv1.3一起使用时,mod_ssl中的错误允许支持握手握手身份验证的客户端绕过配置的访问控制限制。

致谢:该问题由Michael Kaufmann发现。

向安全团队报告2019年1月23日
公开发行2019年4月1日
更新发布2019年4月1日
影响2.4.38、2.4.37

低: mod_http2,后期升级可能会崩溃 (CVE-2019-0197

为http:主机启用HTTP / 2或为https:主机上的h2启用H2Upgrade时,从http / 1.1到http / 2的升级请求(不是连接上的第一个请求)可能导致配置错误和崩溃。从未启用h2协议或仅对其启用https:且未配置“ H2Upgrade on”的服务器不受此影响。

致谢:该问题由Stefan Eissing在greenbytes.de发现。

向安全团队报告2019年1月29日
公开发行2019年4月1日
更新发布2019年4月1日
影响2.4.38、2.4.37、2.4.35、2.4.34

低: mod_http2,字符串比较后可以自由读取 (CVE-2019-0196

使用模糊的网络输入,可以在确定请求的方法时以字符串比较的方式进行http / 2请求处理,以访问释放的内存,从而错误地处理了请求。

致谢:该问题由Craig Young发现,<vuln-report@secur3.us>。

向安全团队报告2019年1月29日
公开发行2019年4月1日
更新发布2019年4月1日
影响2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4。 20、2.4.18、2.4.17

低: Apache httpd URL规范化不一致 (CVE-2019-0220

当请求URL的路径部分包含多个连续的斜杠('/')时,诸如LocationMatch和RewriteRule之类的指令必须考虑正则表达式中的重复项,而服务器处理的其他方面将隐式地将它们折叠。

致谢:该问题由Alpha Strike Labs GmbH的Bernhard Lorenz <bernhard.lorenz@alphastrike.io>发现。

向安全团队报告2019年1月20日
公开发行2019年4月1日
更新发布2019年4月1日
影响2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4。 20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1, 2.4.0


在Apache httpd 2.4.38中修复

重要: 与OpenSSL 1.1.1一起使用时mod_ssl 2.4.37远程DoS (CVE-2019-0190

mod_ssl处理客户端重新协商的方式中存在一个错误。远程攻击者可以发送经过精心设计的请求,这将导致mod_ssl进入导致拒绝服务的循环。由于使用了重新协商尝试,因此在使用OpenSSL 1.1.1或更高版本时,只能使用Apache HTTP Server 2.4.37版触发此错误。

致谢:该问题是通过用户错误报告发现的。

向安全团队报告2019年1月1日
公开发行2019年1月22日
更新发布2019年2月28日
影响2.4.37

低: mod_session_cookie不遵守到期时间 (CVE-2018-17199

在Apache HTTP Server 2.4版本2.4.37及更低版本中,mod_session在解码会话之前检查会话的到期时间。这将导致mod_session_cookie会话的会话到期时间被忽略,因为在解码会话时会加载到期时间。

致谢:该问题是由ImExHS的Diego Angulo发现的。

向安全团队报告2018年10月8日
公开发行2019年1月22日
更新发布2019年2月28日
影响2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4。 18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1、2.4.0

低: 通过慢速请求主体进行HTTP / 2连接的DoS (CVE-2018-17189

通过以低延迟的方式将请求主体发送到普通资源,该请求的h2流不必要地占用了服务器线程来清理传入的数据。这仅影响HTTP / 2连接。可能的缓解措施是不启用h2协议。

致谢:该问题由F5 Networks的Gal Goldshtein发现。

向安全团队报告2018年10月16日
公开发行2019年1月22日
更新发布2019年2月28日
影响2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4。 18、2.4.17


已在Apache httpd 2.4.35中修复

低: 通过连续设置进行HTTP / 2连接的DoS (CVE-2018-11763

通过发送最大大小的连续SETTINGS帧,正在进行的HTTP / 2连接可以保持忙碌状态,并且永远不会超时。这可能会滥用服务器上的DoS。这仅影响已启用h2协议的服务器。

致谢:该问题由F5 Networks的Gal Goldshtein发现。

向安全团队报告2018年7月18日
公开发行2018年9月25日
更新发布2018年9月29日
影响2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18


已在Apache httpd 2.4.34中修复

低: 通过精心设计的请求进行HTTP / 2连接的DoS (CVE-2018-1333

通过特制HTTP / 2请求,将为工作人员分配比必要时间长60秒的时间,从而导致工作人员精疲力竭并拒绝服务。

此问题仅影响已配置并启用HTTP / 2支持的服务器,这不是默认设置。

致谢:该问题是由Tripwire VERT的Craig Young发现的。

向安全团队报告2018年5月8日
公开发行2018年7月18日
更新发布2018年7月15日
影响2.4.33、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18

中等: mod_md,通过Coredumps通过特制请求进行DoS (CVE-2018-8011

通过特制HTTP请求,mod_md质询处理程序将取消引用NULL指针,并导致子进程出现段错误。这可以用来对服务器进行DoS。

致谢:该问题由Daniel Caminada <daniel.caminada@ergon.ch>发现。

向安全团队报告2018年6月29日
公开发行2018年7月18日
更新发布2018年7月15日
影响2.4.33


已在Apache httpd 2.4.33中修复

低: 可能超出范围读取mod_cache_socache (CVE-2018-1303

在准备将数据缓存到共享内存中时,特意制作的HTTP请求标头可能导致2.4.33版之前的Apache HTTP Server崩溃,这是因为读取范围超出限制。它可以用作对mod_cache_socache用户的拒绝服务攻击。

致谢:该问题由Robert Swiecki发现,honggfuzz发现了bug。

向安全团队报告2018年1月23日
公开发行2018年3月21日
更新发布2018年3月21日
影响2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4。 9、2.4.7、2.4.6

低: HTTP / 2流关闭时可能释放后写入 (CVE-2018-1302

当HTTP / 2流在被处理后被销毁时,版本2.4.33之前的Apache HTTP Server可能已向可能已释放的内存写入了NULL指针。

服务器维护的内存池使该漏洞很难在通常的配置中触发,报告者和团队无法在调试版本之外复制它,因此被归类为低风险。

致谢:该问题由Robert Swiecki发现,honggfuzz发现了bug。

向安全团队报告2018年1月23日
公开发行2018年3月21日
更新发布2018年3月21日
影响2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18、2.4.17

低: 读取HTTP请求失败后可能超出范围的访问 (CVE-2018-1301

由于在通过读取HTTP标头达到大小限制后,对域的访问超出范围,因此特制请求可能会使2.4.33版之前的Apache HTTP Server崩溃。即使不是不可能在非调试模式下(日志级别和生成级别)触发此漏洞,它也被认为非常困难,因此,对于使用普通服务器而言,此漏洞被归类为低风险。

致谢:该问题由Robert Swiecki发现,honggfuzz发现了bug。

向安全团队报告2018年1月23日
公开发行2018年3月21日
更新发布2018年3月21日
影响2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4。 9,2.4.7,2.4.6,2.4.4,2.4.3,2.4.2,2.4.1

低: mod_auth_digest中的弱摘要身份验证随机数生成 (CVE-2018-1312

生成HTTP Digest身份验证质询时,使用伪随机种子未正确生成为防止答复攻击而发送的随机数。

在使用通用Digest身份验证配置的服务器群集中,攻击者可能会在未经检测的情况下跨服务器重播HTTP请求。

致谢:该问题由Nicolas Daniels发现。

向安全团队报告2013年3月5日
公开发行2018年3月21日
更新发布2018年3月21日
影响2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4。 9,2.4.7,2.4.6,2.4.4,2.4.3,2.4.2,2.4.1

低: <FilesMatch>绕过,文件名中带有尾随换行符 (CVE-2017-15715

<FilesMatch>中指定的表达式可以将“ $”与恶意文件名中的换行符匹配,而不是仅匹配文件名的末尾。

这可以在某些文件的上传被外部阻止但仅通过匹配文件名尾部的环境中加以利用。

致谢:该问题由Elar Lang发现-security.elarlang.eu

向安全团队报告2017年11月24日
公开发行2018年3月21日
更新发布2018年3月21日
影响2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4。 9,2.4.7,2.4.6,2.4.4,2.4.3,2.4.2,2.4.1

低: 使用过小的接受语言值时,mod_authnz_ldap中的写操作超出范围 (CVE-2017-15710

如果使用AuthLDAPCharsetConfig配置了mod_authnz_ldap,则在验证用户凭据时将使用Accept-Language标头值来查找正确的字符集编码。

如果在字符集转换表中不存在标头值,则使用后备机制将其截断为两个字符的值以允许快速重试(例如,“ en-US”被截断为“ en”)。标头值如果少于两个字符,则会强制将一个NUL字节的写入范围限制为不属于字符串一部分的存储位置。在最坏的情况下(极不可能),该过程将崩溃,可以用作拒绝服务攻击。在更可能的情况下,此内存已被保留以供将来使用,并且该问题根本没有作用。

致谢:Apache HTTP Server安全团队谨感谢Alex Nichols和Jakob Hirsch报告此问题。

向安全团队报告2017年12月7日
公开发行2018年3月21日
更新发布2018年3月21日
影响2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4。 9,2.4.7,2.4.6,2.4.4,2.4.3,2.4.2,2.4.1

中等: 篡改CGI应用程序的mod_session数据 (CVE-2018-1283

当mod_session配置为将其会话数据转发到CGI应用程序时(SessionEnv处于打开状态,不是默认值),远程用户可能会通过使用“ Session”标头来影响其内容。

这来自mod_session用来将其数据转发到CGI的“ HTTP_SESSION”变量名,这是因为Apache HTTP Server也根据CGI规范使用前缀“ HTTP_”来传递HTTP头字段。

由于“ SessionEnv on”不是默认配置也不是通用配置,因此将严重性设置为“中等”,但是由于可能的远程利用,因此在这种情况下应将其视为更严重。

致谢:该问题是由Apache HTTP Server团队内部发现的。

向安全团队报告2017年11月14日
公开发行2018年3月21日
更新发布2018年3月21日
影响2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4。 9,2.4.7,2.4.6,2.4.4,2.4.3,2.4.2,2.4.1


已在Apache httpd 2.4.28中修复

低: 在.htaccess中将<Limit>与无法识别的方法一起使用时可以自由使用(“ OptionsBleed”) (CVE-2017-9798

当.htaccess文件中的<Limit {method}>指令中给出了无法识别的HTTP方法,并且该.htaccess文件由相应的请求处理时,全局方法表在当前工作进程中被损坏,从而导致行为不稳定。

通过在httpd版本2.4.25及更高版本中的全局httpd.conf RegisterHttpMethod指令中列出所有异常的HTTP方法,可以避免此行为。

要在拒绝<Limit>指令的同时允许其他.htaccess指令,请参见AllowOverrideList指令。

源代码补丁(2.4)位于;

源代码补丁(2.2)位于;

注意2.2的生命周期已尽头,没有计划使用此修复程序的进一步版本。鼓励用户迁移到2.4.28或更高版本以获取此修补程序和其他修补程序。

致谢:感谢HannoBöck报告此问题。

向安全团队报告2017年7月12日
公开发行2017年9月18日
更新发布2017年10月5日
影响2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4。 6,2.4.4,2.4.3,2.4.2,2.4.1


已在Apache httpd 2.4.27中修复

重要: 在mod_http2中免费阅读 (CVE-2017-9789

在承受压力,关闭许多连接的情况下,HTTP / 2处理代码有时会在释放后访问内存,从而导致潜在的不稳定行为。

致谢:感谢RobertRobertwięcki报告此问题。

向安全团队报告2017年6月30日
公开发行2017年7月11日
更新发布2017年7月11日
影响2.4.26

重要: mod_auth_digest中的未初始化内存反射 (CVE-2017-9788

在连续键=值分配之前或之间,未初始化或重置“摘要”类型的[Proxy-] Authorization标头中的值占位符。通过mod_auth_digest。

提供没有'='分配的初始密钥可能反映先前请求所使用的未初始化池内存的陈旧值,从而导致潜在机密信息的泄漏和段错误。

致谢:感谢RobertRobertwięcki报告此问题。

向安全团队报告2017年6月28日
公开发行2017年7月11日
更新发布2017年7月11日
影响2.4.26、2.4.25、2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4。 4,2.4.3,2.4.2,2.4.1


已在Apache httpd 2.4.26中修复

重要: ap_get_basic_auth_pw()身份验证绕过 (CVE-2017-3167

身份验证阶段之外的第三方模块使用ap_get_basic_auth_pw()可能会导致绕过身份验证要求。

第三方模块编写者应该使用ap_get_basic_auth_components()(而不是ap_get_basic_auth_pw())(在2.2.34和2.4.26中可用)。在认证阶段调用旧版ap_get_basic_auth_pw()的模块务必在调用后立即对用户进行认证,或者立即以错误响应停止请求,以避免对当前请求进行错误认证。

致谢:感谢Emmanuel Dreyfus报告此问题。

向安全团队报告2017年2月6日
公开发行2017年6月19日
更新发布2017年6月19日
影响2.4.25、2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4。 3、2.4.2、2.4.1

重要: mod_ssl空指针取消引用 (CVE-2017-3169

当第三方模块在对HTTPS端口的HTTP请求期间调用ap_hook_process_connection()时,mod_ssl可能会取消引用NULL指针。

致谢:感谢Vasileios Panopoulos和AdNovum Informatik AG报告此问题。

向安全团队报告2016年12月5日
公开发行2017年6月19日
更新发布2017年6月19日
影响2.4.25、2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4。 3、2.4.2、2.4.1

重要: mod_http2空指针取消引用 (CVE-2017-7659

恶意构造的HTTP / 2请求可能导致mod_http2取消引用NULL指针,并使服务器进程崩溃。

致谢:感谢RobertRobertwięcki报告此问题。

向安全团队报告2016年11月18日
公开发行2017年6月19日
更新发布2017年6月19日
影响2.4.25

重要: ap_find_token()缓冲区溢出 (CVE-2017-7668

在2.2.32和2.4.24中添加的HTTP严格解析更改在令牌列表解析中引入了一个错误,该错误使ap_find_token()可以搜索其输入字符串的末尾。通过恶意制作请求标头序列,攻击者可能会导致分段错误,或迫使ap_find_token()返回不正确的值。

致谢:感谢JavierJiménez(javijmor@gmail.com)报告此问题。

向安全团队报告2017年5月6日
公开发行2017年6月19日
更新发布2017年6月19日
影响2.4.25

重要: mod_mime缓冲区溢出 (CVE-2017-7679

发送恶意的Content-Type响应标头时,mod_mime可以从缓冲区末尾读取一个字节。

致谢:感谢ChenQin和HannoBöck报告此问题。

向安全团队报告2015年11月15日
公开发行2017年6月19日
更新发布2017年6月19日
影响2.4.25、2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4。 3、2.4.2、2.4.1


已在Apache httpd 2.4.25中修复

重要: Apache HTTP请求解析空白缺陷 (CVE-2016-8743

在版本2.4.25(2.2.32)之前的Apache HTTP Server接受了来自用户代理的广泛的异常空格模式,包括解析请求行和请求标头行以及裸CR,FF,VTAB HTAB在解析请求行时。请求行中存在的任何裸CR都被视为空格,并保留在请求字段成员“ the_request”中,而请求标头字段名称中的裸CR将被视为空白,并且保留请求头字段值中的裸CR输入标头数组。在请求行中和任何请求标头行的':'分隔符之前都接受隐含的附加空格。

RFC7230第3.5节引用了这些空白例外,而第3.2.3节则消除并阐明了隐式空白在本规范语法中的作用。3.1.1节要求在方法和请求目标之间以及在请求目标和HTTP版本之间恰好有一个SP,紧随其后的是CRLF序列。这些字段均不允许任何(未编码的)CTL字符。第3.2.4节明确禁止在请求标头字段中使用':'字符之前的任何空格,而第3.2节禁止要求标头行中除HTAB字符以外的所有CTL字符为空白。

当httpd通过mod_proxy或使用常规CGI机制参与任何代理链或与后端应用程序服务器交互时,这些缺陷表示安全问题。在每种情况下,一个代理接受这样的CTL字符并且不将其视为空白,则在代理链中就有可能从不谨慎的代理后面的服务器生成两个响应。在两个请求的序列中,这导致后端服务器将对第一个代理的请求A解释为请求A + A',并且如果请求A和B在保持连接状态下提交给第一个代理,则代理可以解释响应A'作为对请求B的响应,这会污染缓存或可能将A'的内容提供给其他下游用户代理。

这些缺陷在Apache HTTP Server 2.4.25发行版中得到了解决,并由新指令进行了协调。

这是2.4.25及更高版本的默认行为。通过从“严格”行为切换为“不安全”行为,可以放宽一些限制,以允许一些无效的HTTP / 1.1客户端与服务器进行通信,但这将重新引入此评估中所述问题的可能性。请注意,将行为放宽为“不安全”仍将不允许除HTAB之外的原始CTL(在允许的情况下),但将允许不强制执行其他RFC要求,例如在请求行中恰好包含两个SP字符。

致谢:我们要感谢IBM Security X-Force研究人员的David Dennerline以及RégisLeroy每次都报告了此问题。

向安全团队报告2016年2月10日
公开发行2016年12月20日
更新发布2016年12月20日
影响2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4。 2、2.4.1

低: HTTP / 2 CONTINUATION拒绝服务 (CVE-2016-8740

HTTP / 2协议实现(mod_http2)对LimitRequestFields 指令的处理不完整 这使攻击者可以将无限请求标头注入服务器,最终导致内存耗尽。

致谢:我们要感谢亚利桑那州立大学的Naveen Tiwari和CDF / SEFCOM报告此问题。

向安全团队报告2016年11月22日
公开发行2016年12月4日
更新发布2016年12月20日
影响2.4.23、2.4.20、2.4.18、2.4.17

低: mod_auth_digest中的DoS漏洞 (CVE-2016-2161

对mod_auth_digest的恶意输入将导致服务器崩溃,并且即使对于随后的有效请求,每个实例也继续崩溃。

致谢:我们要感谢Maksim Malyutin报告此问题。

向安全团队报告2016年7月11日
公开发行2016年12月20日
更新发布2016年12月20日
影响2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4。 2、2.4.1

低: 在Apache mod_session_crypto中填充Oracle (CVE-2016-0736

在Apache HTTP版本2.4.25之前,mod_sessioncrypto使用配置的密码(可能具有CBC或ECB操作模式,默认为AES256-CBC)对配置的密码进行加密,因此没有可选的或内置的经过身份验证的加密。这使其很容易遭受填充oracle攻击,尤其是使用CBC。现在添加了身份验证标签(SipHash MAC)以防止此类攻击。

致谢:感谢RedTeam Pentesting GmbH的个人报告此问题。

向安全团队报告2016年1月20日
公开发行2016年12月20日
更新发布2016年12月20日
影响2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4。 2、2.4.1

中等: mod_userdir CRLF注入 (CVE-2016-4975

可能的CRLF注入允许对使用mod_userdir的站点进行HTTP响应拆分攻击。通过在2.4.25和2.2.32中进行的更改可以缓解此问题,这些更改禁止将CR或LF注入“位置”或其他出站标头键或值。

致谢:该问题由Sergey Bobrov发现

向安全团队报告2016年7月24日
公开发行2018年8月14日
更新发布2016年12月20日
影响2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4。 2、2.4.1

不适用: HTTP_PROXY环境变量“ httpoxy”缓解 (CVE-2016-5387

HTTP_PROXY是CGI进程中定义明确的环境变量,它与许多库发生冲突,这些库未能避免与此CGI名称空间发生冲突。为httpd CGI环境提供了缓解措施,以避免从IANA从未注册的“ Proxy:”标头填充“ HTTP_PROXY”变量。

该解决方法和补丁已在ASF咨询中的 asf-httpoxy-response.txt中进行了记录, 并包含在2.4.25和2.2.32版本中。

注意:未为httpd设置严重性,因为它是其他软件的缺陷,该缺陷使良好建立的CGI环境变量过载,并且不反映HTTP服务器软件中的错误。

致谢:感谢Vend的Dominic Scheirlinck和Scott Geary报告并提出了解决此问题的方法。

向安全团队报告2016年7月2日
公开发行2016年7月18日
更新发布2016年12月20日
影响2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4。 2、2.4.1


已在Apache httpd 2.4.23中修复

重要: 使用HTTP / 2的TLS / SSL X.509客户端证书身份验证旁路 (CVE-2016-4979

对于支持HTTP / 2的配置,如果配置了SSL客户端证书,则不会强制执行SSL客户端证书验证,从而允许客户端通过HTTP / 2未经授权地访问受保护的资源。

此问题仅影响版本2.4.18和2.4.20。

致谢:此问题由Erki Aring报告。

向安全团队报告2016年6月30日
公开发行2016年7月5日
更新发布2016年7月5日
影响2.4.20、2.4.18


已在Apache httpd 2.4.20中修复

低: mod_http2:通过线程饥饿拒绝服务 (CVE-2016-1546

通过操纵流上的流控制窗口,客户端可以长时间阻塞服务器线程,从而导致工作线程饥饿。仍然可以打开连接,但是没有为这些连接处理任何流。此问题影响了2.4.17和2.4.18中的HTTP / 2支持。

致谢:该问题由Noam Mazor报告。

向安全团队报告2016年2月2日
公开发行2016年4月11日
更新发布2016年4月11日
影响2.4.18、2.4.17


已在Apache httpd 2.4.16中修复

低: mod_lua:websockets PING处理中崩溃 (CVE-2015-0228

在mod_lua模块中发现了堆栈递归崩溃。如果恶意客户端发送了精心设计的PING请求,则执行r:wsupgrade()函数的Lua脚本可能会使进程崩溃。此问题影响了版本2.4.7至2.4.12(含)。

致谢:此问题由Guido Vranken报告。

向安全团队报告2015年1月28日
公开发行2015年2月4日
更新发布2015年7月15日
影响2.4.12、2.4.10、2.4.9、2.4.7

低: ErrorDocument 400处理中崩溃 (CVE-2015-0253

发现ErrorDocument处理崩溃。如果将ErrorDocument 400配置为指向包含INCLUDES筛选器处于活动状态的本地URL路径,则在处理错误时将发生NULL取消引用,从而导致子进程崩溃。此问题仅影响2.4.12版本。

向安全团队报告2015年2月3日
公开发行2015年3月5日
更新发布2015年7月15日
影响2.4.12

低: 针对分块请求解析器的HTTP请求走私攻击 (CVE-2015-3183

由于分析了分块的请求中的错误,因此可能进行HTTP请求走私攻击。恶意客户端可能会迫使服务器误解请求的长度,从而在使用中间代理的情况下允许缓存中毒或凭证劫持。

致谢:此问题由RégisLeroy报告。

向安全团队报告2015年4月4日
公开发行2015年6月9日
更新发布2015年7月15日
影响2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1

低: ap_some_auth_required API无法使用 (CVE-2015-3185

“ ap_some_auth_required”函数中的设计错误使该API在httpd 2.4.x中无法使用。特别是,API记录了该请求是否需要身份验证才能回答,但仅当适用配置中有Require行时才回答。由于2.4.x Require行也用于授权,因此即使不需要身份验证并且请求完全不受限制,它也可以出现在配置中。这可能会导致使用此API的模块在其他情况下不应该允许访问。API用户应改用2.4.16中添加的新ap_some_authn_required API。

致谢:本问题由Ben Reser报告。

向安全团队报告2013年8月5日
公开发行2015年6月9日
更新发布2015年7月15日
影响2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.5、2.4.4、2.4.3、2.4.2、2.4.1、2.4.0


已在Apache httpd 2.4.12中修复

低: mod_lua多个“ Require”指令处理中断 (CVE-2014-8109

当在多个带有不同参数的Require指令中使用LuaAuthzProvider时,修复了mod_lau中Require行的处理。这可能导致与预期不同的身份验证规则。

公开发行2014年11月9日
更新发布2015年1月30日
影响2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1

低: mod_proxy_fcgi越界内存读取 (CVE-2014-3583

在mod_proxy_fcgi中发现了超出范围的内存读取。恶意的FastCGI服务器可能发送经过精心设计的响应,当读取超过堆内存或堆栈缓冲区的末尾时可能导致崩溃。此问题仅影响版本2.4.10。

致谢:此问题由Teguh P. Alko报告。

向安全团队报告2014年9月17日
公开发行2014年11月12日
更新发布2015年1月30日
影响2.4.10

低: 带有空的Content-Type标头的mod_cache崩溃 (CVE-2014-3581

在mod_cache中找到了NULL指针引用。恶意HTTP服务器可能会导致缓存转发代理配置崩溃。如果使用线程MPM,则此崩溃仅是拒绝服务。

公开发行2014年9月8日
更新发布2015年1月30日
影响2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1

低: HTTP预告片处理绕过 (CVE-2013-5704

HTTP尾部可用于在请求处理的后期替换HTTP标头,从而可能会使先前检查或修改请求标头的模块撤销或造成混乱。

此修复程序添加了“ MergeTrailers”指令以还原旧的行为。

致谢:此问题由Martin Holst Swende报告。

向安全团队报告2013年9月6日
公开发行2013年10月19日
更新发布2015年1月30日
影响2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1


已在Apache httpd 2.4.10中修复

重要: mod_cgid拒绝服务 (CVE-2014-0231

在mod_cgid中发现一个缺陷。如果使用mod_cgid的服务器托管了不消耗标准输入的CGI脚本,则远程攻击者可能导致子进程无限期挂起,从而导致拒绝服务。

致谢:此问题由ASF的Rainer Jung报告

向安全团队报告2014年6月16日
公开发行2014年7月14日
更新发布2014年7月15日
影响2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1

重要: WinNT MPM拒绝服务 (CVE-2014-3523

当为该平台使用默认的AcceptFilter时,在httpd版本2.4.1至2.4.9的WinNT MPM中发现了一个漏洞。远程攻击者可以发送精心设计的请求,这些请求可能会泄漏内存,并最终导致对服务器的拒绝服务。

致谢:此问题由ASF的Jeff Trawick报告

向安全团队报告2014年7月1日
公开发行2014年7月15日
更新发布2014年7月15日
影响2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1

中等: mod_proxy拒绝服务 (CVE-2014-0117

在httpd版本2.4.6至2.4.9的mod_proxy中发现了一个缺陷。远程攻击者可能将精心设计的请求发送到配置为反向代理的服务器,并导致子进程崩溃。这可能导致针对线程化的MPM拒绝服务。

致谢:Marek Kroemeke,AKAT-1和22733db72ab3ed94b5f8a1ffcde850251fe6f466通过HP ZDI报告了此问题

向安全团队报告2014年4月7日
公开发行2014年7月15日
更新发布2014年7月15日
影响2.4.9、2.4.7、2.4.6

中等: mod_deflate拒绝服务 (CVE-2014-0118

在mod_deflate中发现了资源消耗漏洞。如果配置了请求正文解压缩(使用“ DEFLATE”输入过滤器),则远程攻击者可能导致服务器消耗大量内存和/或CPU资源。使用请求正文解压缩不是常见的配置。

致谢:Giancarlo Pellegrino和Davide Balzarotti报告了此问题

向安全团队报告2014年2月19日
公开发行2014年7月14日
更新发布2014年7月15日
影响2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1

中等: mod_status缓冲区溢出 (CVE-2014-0226

在mod_status中发现了竞争条件。能够使用线程MPM访问服务器上公共服务器状态页的攻击者可以发送精心设计的请求,这可能导致堆缓冲区溢出。请注意,具有公共可访问服务器状态页面不是默认配置或建议配置。

致谢:Marek Kroemeke,AKAT-1和22733db72ab3ed94b5f8a1ffcde850251fe6f466通过HP ZDI报告了此问题

向安全团队报告2014年5月30日
公开发行2014年7月14日
更新发布2014年7月15日
影响2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1


已在Apache httpd 2.4.9中修复

低: mod_log_config崩溃 (CVE-2014-0098

在mod_log_config中发现一个缺陷。远程攻击者可以发送特定的被截断的cookie导致崩溃。如果使用线程MPM,则此崩溃仅是拒绝服务。

致谢:此问题由Rainer M Canavan报告

向安全团队报告2014年2月25日
公开发行2014年3月17日
更新发布2014年3月17日
影响2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1

中等: mod_dav崩溃 (CVE-2013-6438

删除前导空格并将NUL字符放在缓冲区外时,mod_dav中的XML解析代码错误地计算了字符串的结尾,从而导致随机崩溃。此XML解析代码仅与支持DeltaV的DAV提供程序模块一起使用,其中唯一公开发布的提供程序是mod_dav_svn。

致谢:此问题由Neustar的Zhang Ning和Amin Tora报道

向安全团队报告2013年12月10日
公开发行2014年3月17日
更新发布2014年3月17日
影响2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1


已在Apache httpd 2.4.7中修复

低: mod_cache崩溃 (CVE-2013-4352

在mod_cache中找到了NULL指针取消引用。恶意HTTP服务器可能会导致缓存转发代理配置崩溃。(请注意,此漏洞已在2.4.7版本中修复,但在发布时尚未披露安全影响。)

向安全团队报告2013年9月14日
公开发行2014年7月14日
更新发布2013年11月26日
影响2.4.6


已在Apache httpd 2.4.6中修复

中等: mod_dav崩溃 (CVE-2013-1896

针对由mod_dav_svn处理的URI发送MERGE请求,其中源href(作为XML请求体的一部分发送)指向未配置DAV的URI,这将触发段错误。

致谢:本问题由Ben Reser报告

向安全团队报告2013年3月7日
公开发行2013年5月23日
更新发布2013年7月22日
影响2.4.4、2.4.3、2.4.2、2.4.1

中等: mod_session_dbd会话修复漏洞 (CVE-2013-2249

mod_session_dbd中的漏洞导致它继续进行会话的保存操作,而没有考虑脏标志和对新会话ID的要求。

致谢:此问题由佐藤隆(Takashi Sato)报告

向安全团队报告2013年5月29日
公开发行2013年7月22日
更新发布2013年7月22日
影响2.4.4、2.4.3、2.4.2、2.4.1


已在Apache httpd 2.4.4中修复

低: XSS由于主机名未转义 (CVE-2012-3499

由于未转义的主机名和URI,导致各种XSS缺陷HTML输出到mod_info,mod_status,mod_imagemap,mod_ldap和mod_proxy_ftp中。

致谢:此问题由Google的Niels Heinen报告

向安全团队报告2012年7月11日
公开发行2013年2月18日
更新发布2013年2月25日
影响2.4.3、2.4.2、2.4.1

中等: mod_proxy_balancer中的XSS (CVE-2012-4558

XSS漏洞影响了mod_proxy_balancer管理器界面。

致谢:此问题由Google的Niels Heinen报告

向安全团队报告2012年10月7日
公开发行2013年2月18日
更新发布2013年2月25日
影响2.4.3、2.4.2、2.4.1


已在Apache httpd 2.4.3中修复

重要: 使用mod_proxy_ajp或mod_proxy_http时的响应混合 (CVE-2012-3502

作为错误处理的一部分,必要时模块mod_proxy_ajp和mod_proxy_http并不总是关闭与后端服务器的连接。由于用户之间的响应混合,可能导致信息泄露。

公开发行2012年8月16日
更新发布2012年8月21日
影响2.4.2、2.4.1

低: 支持不受信任的上传时,mod_negotiation中的XSS (CVE-2012-2687

对于使用mod_negotiation并允许不受信任的上传到启用了MultiViews的位置的站点,可能使用XSS。

注意:此问题也称为CVE-2008-0455。

向安全团队报告2012年5月31日
公开发行2012年6月13日
更新发布2012年8月21日
影响2.4.2、2.4.1


已在Apache httpd 2.4.2中修复

低: 不安全的LD_LIBRARY_PATH处理 (CVE-2012-0883

发现对LD_LIBRARY_PATH的不安全处理可能会导致在当前工作目录中搜索DSO。如果管理员从不受信任的目录运行apachectl,这可能允许本地用户以root用户身份执行代码。

向安全团队报告2012年2月14日
公开发行2012年3月2日
更新发布2012年4月17日
影响2.4.1


技术支持: 建站ABC | 管理登录