簡體   English   中英

macOS BigSur 上的 Apache httpd 漏洞

[英]Apache httpd vulnerability on macOS BigSur

我在最新的 macOS (BigSur 11.4 20F71) 上發現了 Apache httpd 中的一個嚴重漏洞,它位於/usr/sbin/httpd 我從未在我的 Mac 上安裝 Apache httpd。 /usr/sbin是一個只讀文件系統(受 SIP“系統完整性保護”保護)並且無法在該文件夾中安裝任何東西,即使是根用戶,這讓我認為 Apache http 與默認情況下是 BigSur。 如果是這樣,我該如何安裝最新的補丁?

易受攻擊的版本是 2.4.46,2.4.47 中有一個修復程序,但我在更新 httpd 時遇到了真正的問題。

> /usr/sbin/httpd -v
Server version: Apache/2.4.46 (Unix)
Server built:   May  8 2021 03:38:34

到目前為止我嘗試過的事情:

  • 使用 homebrew 安裝最新版本的 httpd。 它在/usr/local/bin中安裝了正確的版本,但這是不正確的,因為它仍然完整地保留了易受攻擊的版本。
  • /usr/sbin/httpd進行任何更改都會引發“不允許操作”錯誤,這導致我嘗試禁用系統完整性保護,因為它應該使文件系統可寫。 禁用它后,我嘗試手動將最新版本的 httpd 二進制文件安裝到 /usr/sbin/httpd 中,但我仍然收到此錯誤: /usr/sbin/httpd: Read-only file system 看起來不可能完全禁用 SIP。

我該如何解決這個問題? 該漏洞是在 6 月 6 日發現的,因此超過了許多 InfoSec 監管機構實施修復所需的 14 天限制。

作為參考,這里是漏洞的詳細信息(來自 Nessus):

遠程主機上安裝的 Apache httpd 版本早於 2.4.47。 因此,它受到 2.4.47 更新日志中引用的多個漏洞的影響:

  • 與“MergeSlashes OFF”匹配的意外部分 (CVE-2021-30641)

  • mod_auth_digest:驗證 Digest nonce 時可能堆棧溢出一個 nul 字節。 (CVE-2020-35452)

  • mod_session:修復由於 NULL 指針取消引用可能導致的崩潰,這可能會導致惡意后端服務器和 SessionHeader 拒絕服務。 (CVE-2021-26691)

  • mod_session:修復由於 NULL 指針取消引用可能導致的崩潰,這可能會導致拒絕服務。 (CVE-2021-26690)

  • mod_proxy_http:修復由於 NULL 指針取消引用可能導致的崩潰,這可能會導致拒絕服務。 (CVE-2020-13950)

  • Windows:防止本地用戶停止 httpd 進程 (CVE-2020-13938)

  • mod_proxy_wstunnel、mod_proxy_http:處理可升級協議端到端協商。 (CVE-2019-17567)

在 Apple 提供新的 Apache 版本 v2.4.47/8 之前,您可以確保在啟動時禁用內置的 web 服務器服務(默認情況下禁用) - 請參閱 url https://community.jamf.com/t5/jamf- pro/macos-漏洞-httpd/td-p/236022

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM