Apache 2.4.x < 2.4.25 多个漏洞 (httpoxy)

high Nessus 插件 ID 96451

语言：

简介

远程 Web 服务器受到多个漏洞影响。

描述

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.25 的 2.4.x。因此，该应用程序受到以下漏洞的影响：

- mod_session_crypto 模块中存在缺陷，这是使用已配置的密码与 CBC 或 ECB 操作模式（默认 AES256-CBC）来加密数据和 cookie 所致。未经身份验证的远程攻击者可利用此缺陷，通过 padding oracle 攻击，在无需知道加密密钥的情况下解密信息，从而导致泄露可能的敏感信息。(CVE-2016-0736)

- 在客户端入口分配期间，mod_auth_digest 模块中存在拒绝服务漏洞。
未经身份验证的远程攻击者可利用此漏洞，通过特别构建的输入，消耗共享内存资源，从而导致服务器崩溃。(CVE-2016-2161)

- Apache HTTP 服务器受到一个名为“httpoxy”的中间人漏洞的影响，这是无法正确依据 RFC 3875 第 4.1.18 节解决命名空间冲突所致。HTTP_PROXY 环境变量是基于 HTTP 请求的“Proxy”标头中不受信任的用户数据所设置。某些 Web 客户端库会使用 HTTP_PROXY 环境变量来指定远程代理服务器。未经身份验证的远程攻击者可利用此问题，通过 HTTP 请求中构建的“Proxy”标头，将应用程序的内部 HTTP 流量重定向到其可观察或操控的任意代理服务器。
(CVE-2016-5387)

- mod_http2 模块中存在拒绝服务漏洞，这是未正确处理 LimitRequestFields 指令所致。未经身份验证的远程攻击者可利用此漏洞，通过 HTTP/2 请求中特别构建的 CONTINUATION 框架，将无限请求标头注入服务器，从而导致耗尽内存资源。(CVE-2016-8740)

- 存在缺陷，这是未正确处理用户代理标头中的空白模式所致。未经身份验证的远程攻击者可利用此缺陷，通过特别构建的用户代理标头造成程序错误处理请求序列，从而导致解释响应出错、污染缓存，或将某个请求的内容泄露给第二个下游用户代理。(CVE-2016-8743)

- CRLF 注入允许对使用 mod_userdir 的站点进行 HTTP 响应拆分攻击 (CVE-2016-4975)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

解决方案

升级至 Apache 2.4.25 或更高版本。

请注意，应用供应商公告 asf-httpoxy-response.txt 中所引用的变通方案或修补程序，即可缓解“httpoxy”漏洞的严重性。此外，确保未使用受影响的模块（mod_session_crypto、mod_auth_digest 和 mod_http2），以缓解其他漏洞的严重性。