低危 mini_httpd和thttpd缓冲区溢出漏洞

CVE编号

CVE-2017-17663

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-02-07

漏洞描述

thttpd和mini_httpd都是ACME实验室开发的产品。thttpd是一款轻量级的HTTP服务器，它支持基于URL的文件流量限制，以及支持多种平台，如FreeBSD、SunOS、Solaris、BSD等。mini_httpd是一款小型HTTP服务器，它支持基本身份验证、常见的MIME类型和目录列表等。 mini_httpd 1.28之前版本和thttpd 2.28之前版本中的htpasswd实现存在缓冲区溢出漏洞。远程攻击者可利用该漏洞执行代码。

解决建议

厂商已发布漏洞修复程序，请及时关注更新：http://acme.com/updates/archive/199.html

参考链接
http://acme.com/updates/archive/199.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	acme	mini_httpd	*		Up to (excluding) 1.28
	运行在以下环境
	应用	acme	thttpd	*		Up to (excluding) 2.28
	运行在以下环境
	系统	alpine_3.10	mini_httpd	*		Up to (excluding) 1.29-r0
	运行在以下环境
	系统	alpine_3.11	mini_httpd	*		Up to (excluding) 1.29-r0
	运行在以下环境
	系统	alpine_3.12	mini_httpd	*		Up to (excluding) 1.29-r0
	运行在以下环境
	系统	alpine_3.13	mini_httpd	*		Up to (excluding) 1.29-r0
	运行在以下环境
	系统	alpine_3.14	mini_httpd	*		Up to (excluding) 1.29-r0
	运行在以下环境
	系统	alpine_3.15	mini_httpd	*		Up to (excluding) 1.29-r0
	运行在以下环境
	系统	alpine_3.16	mini_httpd	*		Up to (excluding) 1.29-r0
	运行在以下环境
	系统	alpine_3.17	mini_httpd	*		Up to (excluding) 1.29-r0
	运行在以下环境
	系统	alpine_3.18	mini_httpd	*		Up to (excluding) 1.29-r0
	运行在以下环境
	系统	alpine_3.8	mini_httpd	*		Up to (excluding) 1.29-r0
	运行在以下环境
	系统	alpine_3.9	mini_httpd	*		Up to (excluding) 1.29-r0
	运行在以下环境
	系统	alpine_edge	mini_httpd	*		Up to (excluding) 1.29-r0
	运行在以下环境
	系统	debian_10	mini-httpd	*		Up to (including) 1.30-0.2
	运行在以下环境
	系统	debian_11	mini-httpd	*		Up to (including) 1.30-2
	运行在以下环境
	系统	debian_12	mini-httpd	*		Up to (including) 1.30-3
	运行在以下环境
	系统	debian_9	mini-httpd	*		Up to (including) 1.23-1.2
	运行在以下环境
	系统	debian_sid	mini-httpd	*		Up to (including) 1.30-5

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-119	内存缓冲区边界内操作的限制不恰当

Exp相关链接

- avd.aliyun.com