各学院（单位）、各部门：

2017年6月19日，Apache httpd被曝出多个安全漏洞，漏洞编号为:CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679，安全风险较高。请及时通知各系统管理员查看相关漏洞情况，并进行相关处理。具体如下：

漏洞编号:

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

漏洞名称:

Apache httpd 多个安全漏洞

官方评级:

高危

漏洞描述:

CVE-2017-3167：第三方模块在身份验证阶段使用ap_get_basic_auth_pw()，会导致绕过身份验证要求。

CVE-2017-3169：第三方模块在HTTP请求HTTPS端口时，若调用ap_hook_process_connection()，则mod_ssl会间接引用空指针。

CVE-2017-7659：处理构造的HTTP/2请求时，会造成mod_http2间接引用空指针，或造成服务器进程崩溃。

CVE-2017-7668：在令牌列表解析中存在bug，可使ap_find_token()搜索输入字符串之外的内容，通过构造的请求头序列，攻击者可造成段故障，或强制ap_find_token()返回错误值。

CVE-2017-7679：恶意攻击者发送恶意Content-Type响应头时，mod_mime会造成缓冲区越界读。

漏洞利用条件和方式:

远程利用

漏洞影响范围:

CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.2.0 到2.2.32版本

CVE-2017-7668:Apache HTTP Web Server 2.2.32

CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:Apache HTTP Web Server 2.4.0到2.4.25版本

CVE-2017-7659, CVE-2017-7668:Apache HTTP Web Server 2.4.25

漏洞检测:

自查Apache http版本是否在受影响范围内

apachectl -v 或者 httpd -v

漏洞修复建议(或缓解措施):

Apache httpd 2.4版本用户升级到2.4.26

Apache httpd httpd 2.2版本用户升级到2.2.33-dev

信息化建设与管理中心

2017年6月22日