macos - macOS BigSur 上的 Apache httpd 漏洞

Question

我在最新的 macOS (BigSur 11.4 20F71) 上发现了 Apache httpd 中的一个严重漏洞，位于此处 /usr/sbin/httpd .我从来没有在我的 mac 上安装 Apache httpd。 /usr/sbin是 只读文件系统 (受 SIP“系统完整性保护”保护)并且无法在该文件夹中安装任何东西，即使是 root 用户，这让我认为 Apache http 默认与 BigSur 捆绑在一起。如果是这样，我该如何安装最新的补丁？
易受攻击的版本是 2.4.46，在 2.4.47 中有一个修复，但我在更新 httpd 时遇到了真正的问题。

> /usr/sbin/httpd -v
Server version: Apache/2.4.46 (Unix)
Server built:   May  8 2021 03:38:34

到目前为止我尝试过的事情:

使用自制软件安装最新版本的 httpd。它在 /usr/local/bin 中安装了正确的版本这不好，因为它仍然使易受攻击的版本完好无损。

对 /usr/sbin/httpd 进行任何更改引发“不允许操作”错误，这导致我尝试
Disable System Integrity Protection因为它应该使文件系统可写。禁用它后，我尝试将最新版本的 httpd 二进制文件手动安装到/usr/sbin/httpd，但我仍然收到此错误:/usr/sbin/httpd: Read-only file system .看起来不可能完全禁用 SIP。

我该如何解决这个问题？这个漏洞是在 6 月 6 日发现的，因此它超过了许多信息安全监管机构实现修复所需的 14 天限制。
作为引用，这里是漏洞的详细信息(来自 Nessus):
远程主机上安装的 Apache httpd 版本为 2.4.47 之前的版本。因此，它受到 2.4.47 变更日志中引用的多个漏洞的影响:

与“MergeSlashes OFF”匹配的意外部分 (CVE-2021-30641)

mod_auth_digest:在验证 Digest nonce 时可能堆栈溢出一个 nul 字节。 (CVE-2020-35452)

mod_session:修复了由于空指针取消引用而可能导致的崩溃，这可能会导致恶意后端服务器和 SessionHeader 拒绝服务。 (CVE-2021-26691)

mod_session:修复了由于空指针取消引用而可能导致的崩溃，这可能会导致拒绝服务。
(CVE-2021-26690)

mod_proxy_http:修复了由于空指针取消引用可能导致的拒绝服务导致的崩溃。 (CVE-2020-13950)

Windows:防止本地用户停止 httpd 进程 (CVE-2020-13938)

mod_proxy_wstunnel、mod_proxy_http:处理可升级协议(protocol)的端到端协商。 (CVE-2019-17567)

Answer 1

在 Apple 提供新的 Apache 版本 v2.4.47/8 之前，您可以确保在启动时禁用内置的 Web 服务器服务(默认禁用) - 引用网址 https://community.jamf.com/t5/jamf-pro/macos-vulnerability-httpd/td-p/236022