HTTP 協(xié)議棧遠程代碼執(zhí)行漏洞

 漏洞資訊     |      2022-01-21

一、  漏洞描述

未經(jīng)過身份驗證的攻擊者可利用 HTTP 協(xié)議棧 (HTTP.sys) 中的 HTTP Trailer Support 功能中存在邊界錯誤導(dǎo)致緩沖區(qū)溢出的問題,通過發(fā)送特制數(shù)據(jù)包發(fā)送給目標(biāo)服務(wù)器觸發(fā)緩沖區(qū)溢出,從而遠程執(zhí)行代碼。

二、  漏洞詳情

CVE-2022-21907: HTTP 協(xié)議棧遠程代碼執(zhí)行漏洞

CVE: CVE-2022-21907

組件: HTTP.sys

漏洞類型: 代碼問題

影響: 任意代碼執(zhí)行

簡述: 見漏洞描述。

三、  影響版本


影響產(chǎn)品或系統(tǒng)版本

安全版本

HTTP.sys

Windows 10*

-

Windows 11*

-

Windows Server 2019*

-

Windows Server 2022*

-

四、  安全版本

見三

五、  安全建議

通用修補建議:

官方已發(fā)布漏洞補丁及修復(fù)版本,請評估業(yè)務(wù)是否受影響后,酌情升級至安全版本

https://msrc.microsoft.com/update-guide/vulnerability/