谷歌安全研究员发现3个 Apache Web 服务器软件缺陷
Apache 最近修复了 web 服务器软件中的多个漏洞,它们本可导致任意代码执行后果,且在某些特定场景下,甚至可导致攻击者触发服务器崩溃和拒绝服务。
这些缺陷是 CVE-2020-9490、CVE-2020-11984和CVE-2020-11993,由谷歌 Project Zero 团队研究员 Felix Wihelm 发现,目前已在最新版本 (2.4.46) 中修复。
CVE-2020-11984是由“mod_uwsgi”模块中的缓冲区溢出造成的远程代码执行漏洞,可导致攻击者根据和在服务器上运行的应用相关的权限,查看、修改或删除敏感数据。Apache 基金会指出,“恶意请求可能导致在恶意进程环境下运行的服务器上的现有文件信息泄露或执行远程代码。”
当“mod_http2”模块中的调试功能启用时,就会触发漏洞CVE-2020-11993,从而导致在错误连接上记录语句,因日志池并发使用而导致内存损坏。
CVE-2020-9490 是其中最为严重的漏洞,也存在于 HTTP/2 模块中,它通过使用特殊构造的“Cache-Digest’标头触发内存损坏,从而造成崩溃和拒绝服务后果。
Cache Digist 是现已遭弃用的 web 优化功能,旨在通过服务器推送解决问题,可使服务器提前向客户端发送响应。服务器允许客户端通知其刷新的缓存内容,以便贷款不必浪费时间发送已位于客户端缓存中的资源。因此,当一个特别构造的值被注入 HTTP/2 请求中的’Cache-Digest’标头中时,它会在服务器通过标头发送 PUSH 数据包时触发崩溃。未修复的服务器可通过关闭 HTTP/2 服务器 push功能的方法解决该漏洞。
尽管目前尚未有证据表明这三个缺陷已遭在野利用,但应在正确测试后立即在易受攻击服务器应用补丁,并确保应用仅配置所需权限,以缓解该影响。
https://thehackernews.com/2020/08/apache-webserver-security.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~