BLSA-2017:0075 – [重要] httpd 安全警告及修复方法



  • 问题描述

    HTTPD最近被暴露存在(CVE-2016-8743)安全漏洞,恶意攻击者利用这个漏洞,可以使代理缓存中毒;并且发现 httpd 还存在无法正确检查数组的边界的漏洞。建议所有受影响用户都安装BCLinux提供的的升级包以修复这些漏洞,升级包包含了修复这些漏洞的补丁文件。

    httpd简介
    httpd是Apache超文本传输协议(HTTP)服务器的主程序。被设计为一个独立运行的后台进程,它会建立一个处理请求的子进程或线程的池。通常,httpd不应该被直接调用,而应该在类Unix系统中由 apachectl 调用。httpd软件包提供了一款功能强大的,高效的,可扩展的Apache HTTP服务器。

    影响版本

    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 6
    • CentOS Linux 6

    详细介绍

    安全修复

    • CVE-2016-8743[重要]
      httpd中的HTTP解析器错误地允许HTTP协议规范中所禁止的的某些字符在HTTP请求报文头中出现并且未被编码。如果httpd与代理或后端服务器结合使用而错误解析了这些字符。远程攻击者可能会利用此漏洞将数据注入到HTTP响应中,从而导致代理缓存中毒。

    漏洞修复

    • BZ#1463354
      之前,httpd 无法正确检查数组的边界,在极少的情况下,它尝试访问超过范围的数组元素。结果,httpd 由于在 proxy_util.c 中出现段错误而意外终止。使用此次更新,边界检查已经被修复,并且httpd 不再崩溃。

    解决方案

    BCLinux的官方源已经可以提供更新的 httpd 软件包,受影响的BCLinux 6 客户端用户需要升级到 2.2.15-60.el6_9.4.x86_64 版本 。

    BCLINX 用户安装更新步骤如下:
    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]#  ls -l /etc/yum.repos.d/
    total 12
    -rw-r--r--. 1 root root  969 Nov 16  2015 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1053 Nov 16  2015 BCLinux-Source.repo
    -rw-r--r--. 1 root root 1184 Nov 16  2015 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update httpd
    Loaded plugins: fastestmirror
    Setting up Update Process
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package httpd.x86_64 0:2.2.15-59.el6.centos will be updated
    ---> Package httpd.x86_64 0:2.2.15-60.el6_9.4 will be an update
    --> Processing Dependency: httpd-tools = 2.2.15-60.el6_9.4 for package: httpd-2.2.15-60.el6_9.4.x86_64
    --> Running transaction check
    ---> Package httpd-tools.x86_64 0:2.2.15-59.el6.centos will be updated
    ---> Package httpd-tools.x86_64 0:2.2.15-60.el6_9.4 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    =====================================================================================================================================================================
     Package                                 Arch                               Version                                        Repository                           Size
    =====================================================================================================================================================================
    Updating:
     httpd                                   x86_64                             2.2.15-60.el6_9.4                              updates                             839 k
    Updating for dependencies:
     httpd-tools                             x86_64                             2.2.15-60.el6_9.4                              updates                              80 k
    
    Transaction Summary
    =====================================================================================================================================================================
    Upgrade       2 Package(s)
    
    Total download size: 919 k
    Is this ok [y/N]: y
    
    

    4.复查

    [root@BCLinux ~]# rpm -q httpd
    httpd-2.2.15-60.el6_9.4.x86_64
    

    5.重启应用
    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待