Apache httpd新版本发布其中修复2个高危漏洞

2017年7月18日百度安全指数平台又发布了一篇关于Apache httpd新版本发布所修复的两个高危漏洞，推火专家seo博客转载过来和朋友们分享一下。本文转载内容链接是https://bsi.baidu./article/detail/90，正文部分如下

漏洞描述

2017年7月11日，Apache HTTP Server项目发布Apache 2.4.27版本，其中修复两个高危漏洞CVE-2017-9788和CVE-2017-9789，Apache基金会认为这个版本是Apache可用的最佳版本建议所有先前版本的用户进行升级。

CVE-2017-9788Unitialized memory reflection mod_auth_digest

通过mod_auth_digest，“Digest”类型的[Proxy-]授权头中占位符在连续的key =值分配之前或之间未初始化或重置。

提供没有’=’分配的初始密钥可以反射先前请求使用的未初始化的内存池的陈旧值，导致潜在机密信息的泄漏和segfault。

CVE-2017-9789Read after free mod_http2

在Apache httpd访问压力较大时，关闭多个连接，HTTP/2处理代码有时会在释放后访问内存，导致不稳定操作。

影响版本

CVE-2017-97882.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1

CVE-2017-97892.4.26

漏洞等级高危

修复建议

1、升级Apache httpd 到2.4.27；

2、使用百度云加速WAF防火墙进行防御；

3、添加网站至安全指数，及时了解网站组件突发/0day漏洞。

了解更多

http://httpd.apache./security/vulnerabilities_24.html

https://.apache./dist/httpd/Announcement2.4.txt