一、 漏洞描述
未經過身份驗證的攻擊者可利用 HTTP 協議棧 (HTTP.sys) 中的 HTTP Trailer Support 功能中存在邊界錯誤導致緩沖區溢出的問題,通過發送特制數據包發送給目標服務器觸發緩沖區溢出,從而遠程執行代碼。
二、 漏洞詳情
CVE-2022-21907: HTTP 協議棧遠程代碼執行漏洞
CVE: CVE-2022-21907
組件: HTTP.sys
漏洞類型: 代碼問題
影響: 任意代碼執行
簡述: 見漏洞描述。
三、 影響版本
影響產品或系統版本 | 安全版本 | |
HTTP.sys | Windows 10* | - |
Windows 11* | - | |
Windows Server 2019* | - | |
Windows Server 2022* | - |
四、 安全版本
見三
五、 安全建議
通用修補建議:
官方已發布漏洞補丁及修復版本,請評估業務是否受影響后,酌情升級至安全版本
https://msrc.microsoft.com/update-guide/vulnerability/