httpd是Apache超文本传输协议(HTTP)服务器的主程序。被设计为一个独立运行的后台进程，它会建立一个处理请求的子进程或线程的池。通常，httpd不应该被直接调用，而应该在类Unix系统中由 apachectl 调用，在Windows NT/2000/XP/2003中作为服务运行和在Windows 95/98/ME中作为控制台程序运行。（百度百科）

　　漏洞描述

　　Apache httpd存在多个高危漏洞，包括：

　　CVE-2017-3167

　　第三方模块在身份验证阶段使用ap_get_basic_auth_pw()，会导致绕过身份验证。

　　CVE-2017-3169

　　第三方模块在HTTP请求HTTPS端口时，若调用ap_hook_process_connection()，则mod_ssl会间接引用空指针。

　　CVE-2017-7659

　　处理构造的HTTP/2请求时，会造成mod_http2间接引用空指针，或造成服务器进程崩溃。

　　CVE-2017-7668

　　在令牌列表解析中存在bug，可使ap_find_token()搜索输入字符串之外的内容，通过构造的请求头序列，攻击者可造成段故障，或强制ap_find_token()返回错误值。

　　CVE-2017-7679

　　恶意攻击者发送恶意Content-Type响应头时，mod_mime会造成缓冲区越界读。

　　影响版本

　　CVE-2017-3167, CVE-2017-3169, CVE-2017-7679：Apache HTTP Web Server 2.2.0 到2.2.32版本

　　CVE-2017-7668：Apache HTTP Web Server 2.2.32版本

　　CVE-2017-3167, CVE-2017-3169, CVE-2017-7679:：Apache HTTP Web Server 2.4.0到2.4.25版本

　　CVE-2017-7659, CVE-2017-7668:：Apache HTTP Web Server 2.4.25版本

　　漏洞等级：高危

　　修复建议

　　1、Apache httpd 2.4版本用户升级到2.4.26，Apache httpd httpd 2.2版本用户升级到2.2.33-dev；

　　2、使用百度云加速WAF防火墙进行防御；

　　3、添加网站至安全指数，及时了解网站组件突发/0day漏洞。

　　了解更多

　　https://httpd.apache.org/security/vulnerabilities_22.html