我在最新的 macOS (BigSur 11.4 20F71) 上发现了 Apache httpd 中的一个严重漏洞，它位于 /usr/sbin/httpd。我从来没有在我的 mac 上安装 Apache httpd。 /usr/sbin 是一个只读文件系统（受 SIP“系统完整性保护”保护）并且不可能在该文件夹中安装任何东西，即使是作为 root 用户，这使得我认为 Apache http 默认与 BigSur 捆绑在一起。如果是这样，我该如何安装最新的补丁？

易受攻击的版本是 2.4.46，在 2.4.47 中有一个修复，但我在更新 httpd 时遇到了真正的问题。

> /usr/sbin/httpd -v
Server version: Apache/2.4.46 (Unix)
Server built:   May  8 2021 03:38:34

到目前为止我尝试过的事情：

• 使用自制软件安装最新版本的 httpd。它在 /usr/local/bin 中安装了正确的版本，这并不正确，因为它仍然完好无损地保留了易受攻击的版本。
• 对 /usr/sbin/httpd 进行任何更改都会引发“不允许操作”错误，这促使我尝试 Disable System Integrity Protection 因为它应该使文件系统可写。禁用它后，我尝试将最新版本的 httpd 二进制文件手动安装到 /usr/sbin/httpd，但我仍然收到此错误：/usr/sbin/httpd: Read-only file system。看起来不可能完全禁用 SIP。

我该如何解决这个问题？该漏洞是在 6 月 6 日发现的，因此它超过了许多信息安全监管机构实施修复所需的 14 天限制。

作为参考，这里是漏洞的详细信息（来自 nessus）：

远程主机上安装的 Apache httpd 版本为 2.4.47 之前的版本。因此，它受到 2.4.47 变更日志中提到的多个漏洞的影响：

• 与“MergeSlashes OFF”匹配的意外部分 (CVE-2021-30641)

• mod_auth_digest：在验证 Digest nonce 时可能堆栈溢出一个 nul 字节。 (CVE-2020-35452)

• mod_session：修复由于空指针取消引用可能导致的崩溃，这可能会导致恶意后端服务器和 SessionHeader 拒绝服务。 (CVE-2021-26691)

• mod_session：修复由于空指针取消引用而可能导致的崩溃，这可能会导致拒绝服务。 (CVE-2021-26690)

• mod_proxy_http：修复由于空指针取消引用而可能导致的崩溃，这可能会导致拒绝服务。 (CVE-2020-13950)

• Windows：防止本地用户停止 httpd 进程 (CVE-2020-13938)

• mod_proxy_wstunnel、mod_proxy_http：处理可升级协议的端到端协商。 (CVE-2019-17567)

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）