1. 概述：
中標麒麟高級服務器操作系統V7有httpd可用的更新。
中標軟件產品安全經評定此更新對產品安全有重要意義。

2. 相關版本/架構：
中標麒麟高級服務器操作系統V7-X86_64。

3. 描述：
httpd軟件包集成了Apache HTTP Server。Apache是一種功能強大，高效，可擴展的Web服務器軟件。

4. 安全加固：
*發現一個httpd的mod_session_crypto模塊的漏洞，該漏洞導致沒有使用任何機制來驗證用戶瀏覽器中加密會話數據的完整性。遠程攻擊者可以利用這個漏洞通過Padding Oracle（在解密時，如果算法發現解密后得到的結果，它的填充方式不符合規則，那么表示輸入數據有問題，對于解密的類庫來說，往往便會拋出一個異常，這就是Padding Oracle）攻擊手段進行破解與修改會話數據。（CVE-2016-0736）

*發現一個httpd的mod_auth_digest模塊的漏洞，該漏洞導致不能正確檢測出內存分配的相關錯誤。如果服務器使用HTTP摘要驗證，遠程攻擊者可以使用這個漏洞導致httpd子進程反復崩潰。（CVE-2016-2161）

*發現HTTP解析器允許解析某些特定字符，而這些特定字符卻是HTTP協議規范中不允許在非加密HTTP請求頭中出現的字符。當httpd服務器對這些特定字符進行解析的時候，作為配合代理服務器使用與作為后端服務器使用，這兩種情況產生不同的語義解析。遠程攻擊者可能會利用這個漏洞在HTTP響應過程中注入非法數據，從而導致代理服務器上產生錯誤。（CVE-2016-8743）

5. 缺陷修復：
*如果大量的httpd子進程在httpd服務重啟之前處于活躍狀態，httpd服務重啟后，會嘗重新試建立這些連接，與此同時也會建立一些非必要的連接，這會導致httpd服務需要花費很長時間才能完成。修復后，通過限制httpd服務重啟過程中需要啟動子進程的數量，使上述問題不再發生。

*在容器中運行的httpd服務器，當一個建立連接的WebSocket關閉時候，http會返回500錯誤碼，但將此返回值不能正確的發送到客戶端。通過此次修復，上述問題將不再發生。

*使用mod_authnz_ldap模塊進行LDAP認證過程中，AuthLDAPBindDN設置會發生錯誤，從而導致綁定的LDAP服務器查詢失敗。已經修復此缺陷。

6. 安裝包列表：
中標麒麟高級服務器操作系統V7
源碼包：
httpd-2.4.6-45.el7_3.4.src.rpm

x86_64二進制包：
httpd-2.4.6-45.el7_3.4.x86_64.rpm
httpd-debuginfo-2.4.6-45.el7_3.4.x86_64.rpm
httpd-devel-2.4.6-45.el7_3.4.x86_64.rpm
httpd-tools-2.4.6-45.el7_3.4.x86_64.rpm
mod_ssl-2.4.6-45.el7_3.4.x86_64.rpm