问题描述
我在最新的 macOS (BigSur 11.4 20F71) 上发现了 Apache httpd 中的一个严重漏洞,它位于 /usr/sbin/httpd
。我从来没有在我的 mac 上安装 Apache httpd。 /usr/sbin
是一个只读文件系统(受 SIP“系统完整性保护”保护)并且不可能在该文件夹中安装任何东西,即使是作为 root 用户,这使得我认为 Apache http 默认与 BigSur 捆绑在一起。如果是这样,我该如何安装最新的补丁?
易受攻击的版本是 2.4.46,在 2.4.47 中有一个修复,但我在更新 httpd 时遇到了真正的问题。
> /usr/sbin/httpd -v
Server version: Apache/2.4.46 (Unix)
Server built: May 8 2021 03:38:34
到目前为止我尝试过的事情:
- 使用自制软件安装最新版本的 httpd。它在
/usr/local/bin
中安装了正确的版本,这并不正确,因为它仍然完好无损地保留了易受攻击的版本。 - 对
/usr/sbin/httpd
进行任何更改都会引发“不允许操作”错误,这促使我尝试 Disable System Integrity Protection 因为它应该使文件系统可写。禁用它后,我尝试将最新版本的 httpd 二进制文件手动安装到 /usr/sbin/httpd,但我仍然收到此错误:/usr/sbin/httpd: Read-only file system
。看起来不可能完全禁用 SIP。
我该如何解决这个问题?该漏洞是在 6 月 6 日发现的,因此它超过了许多信息安全监管机构实施修复所需的 14 天限制。
作为参考,这里是漏洞的详细信息(来自 nessus):
远程主机上安装的 Apache httpd 版本为 2.4.47 之前的版本。因此,它受到 2.4.47 变更日志中提到的多个漏洞的影响:
-
与“MergeSlashes OFF”匹配的意外部分 (CVE-2021-30641)
-
mod_auth_digest:在验证 Digest nonce 时可能堆栈溢出一个 nul 字节。 (CVE-2020-35452)
-
mod_session:修复由于空指针取消引用可能导致的崩溃,这可能会导致恶意后端服务器和 SessionHeader 拒绝服务。 (CVE-2021-26691)
-
mod_session:修复由于空指针取消引用而可能导致的崩溃,这可能会导致拒绝服务。 (CVE-2021-26690)
-
mod_proxy_http:修复由于空指针取消引用而可能导致的崩溃,这可能会导致拒绝服务。 (CVE-2020-13950)
-
Windows:防止本地用户停止 httpd 进程 (CVE-2020-13938)
-
mod_proxy_wstunnel、mod_proxy_http:处理可升级协议的端到端协商。 (CVE-2019-17567)
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)