我在最新的 macOS (BigSur 11.4 20F71) 上发现了 Apache httpd 中的一个严重漏洞,该漏洞位于此处/usr/sbin/httpd。我从未在我的 Mac 上安装过 Apache httpd。/usr/sbin是一个只读文件系统(受 SIP“系统完整性保护”保护),并且即使作为 root 用户也无法在该文件夹中安装任何内容,这让我认为 Apache http 默认情况下与 BigSur 捆绑在一起。如果是的话,如何安装最新的补丁?
易受攻击的版本是 2.4.46,2.4.47 中有修复,但我在更新 httpd 时遇到了实际问题。
> /usr/sbin/httpd -v
Server version: Apache/2.4.46 (Unix)
Server built: May 8 2021 03:38:34
/usr/local/bin因为它仍然完好无损地保留了易受攻击的版本。/usr/sbin/httpd引发“不允许操作”错误,这导致我尝试
禁用系统完整性保护,因为它应该使文件系统可写。禁用它后,我尝试手动将最新版本的 httpd 二进制文件安装到 /usr/sbin/httpd 中,但仍然收到此错误:/usr/sbin/httpd: Read-only file system。看来完全禁用 SIP 是不可能的。我该如何解决这个问题?该漏洞于 6 月 6 日被发现,因此已经超过了许多 InfoSec 监管机构实施修复所需的 14 天限制。
远程主机上安装的 …