macOS BigSur 上的 Apache httpd 漏洞

Question

我在最新的 macOS (BigSur 11.4 20F71) 上发现了 Apache httpd 中的一个严重漏洞，它位于/usr/sbin/httpd 。 我从未在我的 Mac 上安装 Apache httpd。 /usr/sbin是一个只读文件系统（受 SIP“系统完整性保护”保护）并且无法在该文件夹中安装任何东西，即使是根用户，这让我认为 Apache http 与默认情况下是 BigSur。 如果是这样，我该如何安装最新的补丁？

易受攻击的版本是 2.4.46，2.4.47 中有一个修复程序，但我在更新 httpd 时遇到了真正的问题。

> /usr/sbin/httpd -v
Server version: Apache/2.4.46 (Unix)
Server built:   May  8 2021 03:38:34

到目前为止我尝试过的事情：

• 使用 homebrew 安装最新版本的 httpd。 它在/usr/local/bin中安装了正确的版本，但这是不正确的，因为它仍然完整地保留了易受攻击的版本。
• 对/usr/sbin/httpd进行任何更改都会引发“不允许操作”错误，这导致我尝试禁用系统完整性保护，因为它应该使文件系统可写。 禁用它后，我尝试手动将最新版本的 httpd 二进制文件安装到 /usr/sbin/httpd 中，但我仍然收到此错误： /usr/sbin/httpd: Read-only file system 。 看起来不可能完全禁用 SIP。

我该如何解决这个问题？ 该漏洞是在 6 月 6 日发现的，因此超过了许多 InfoSec 监管机构实施修复所需的 14 天限制。

作为参考，这里是漏洞的详细信息（来自 Nessus）：

远程主机上安装的 Apache httpd 版本早于 2.4.47。 因此，它受到 2.4.47 更新日志中引用的多个漏洞的影响：

• 与“MergeSlashes OFF”匹配的意外部分 (CVE-2021-30641)

• mod_auth_digest：验证 Digest nonce 时可能堆栈溢出一个 nul 字节。 (CVE-2020-35452)

• mod_session：修复由于 NULL 指针取消引用可能导致的崩溃，这可能会导致恶意后端服务器和 SessionHeader 拒绝服务。 (CVE-2021-26691)

• mod_session：修复由于 NULL 指针取消引用可能导致的崩溃，这可能会导致拒绝服务。 (CVE-2021-26690)

• mod_proxy_http：修复由于 NULL 指针取消引用可能导致的崩溃，这可能会导致拒绝服务。 (CVE-2020-13950)

• Windows：防止本地用户停止 httpd 进程 (CVE-2020-13938)

• mod_proxy_wstunnel、mod_proxy_http：处理可升级协议端到端协商。 (CVE-2019-17567)

Answer 1

在 Apple 提供新的 Apache 版本 v2.4.47/8 之前，您可以确保在启动时禁用内置的 web 服务器服务（默认情况下禁用） - 请参阅 url https://community.jamf.com/t5/jamf- pro/macos-漏洞-httpd/td-p/236022