Apache被曝出存在3个安全漏洞
GoogleProjectZero研究人员FelixWilhelm最近在Apacheweb服务器中发现了一些安全漏洞,即CVE-2020-9490、CVE-2020-11984和CVE-2020-11993。攻击者可以利用这些漏洞来执行任意代码,并在特定的上下文中触发运行或拒绝服务攻击。
CVE-2020-11984
CVE-2020-11984漏洞是由mod_uwsgi模块缓冲区溢出引起的远程代码执行漏洞,攻击者可以利用该漏洞查看、修改和删除敏感数据,这取决于运行在服务器上的应用程序的权限。攻击者可以通过构造恶意请求或使用运行在恶意进程环境中的服务器上的现有文件来执行远程代码。
CVE-2020-11993
CVE-2020-11993漏洞位于mod_http 2模块中,并在启用调试时触发,导致日志语句记录在错误的连接上,并最终由于并发日志池的使用而导致内存损坏。
CVE-2020-9490
CVE-2020-9490漏洞位于HTTP/2模块中,是这三个漏洞中最严重的一个。攻击者可以通过构造Cache-Digestheader导致内存损坏,最终导致运行或DoS攻击。
CacheDigest是一种不再使用的Web优化功能。通过允许服务器提前向客户端发送响应,客户端可以将其最新的缓存内容通知服务器,这样客户端缓存中的现有资源就不会被发送以避免浪费带宽。
因此,当一个伪造的值被注入到HTTP/2请求的Cache-Digestheader中时,当服务器发送带有标头的Push数据包时,它会导致运行。
补丁
没有发现对这些漏洞的内部攻击,但研究人员建议用户尽快将apacheweb服务器更新到最新版本2.4.46,以防止攻击者控制服务器。
-
蓝帆医疗携手山东省立医院启动减重患者手术慈善捐赠活动,打造减重公益新标杆互联网 2023-07-04 14:56
-
热烈祝贺! 爱创科技加入中经联溯源技术专业委员会!原创 2023-07-04 14:49
-
中核海得威“健康管理进校园”暨“健康护胃中国行”四区公益活动第一站成功举办互联网 2023-07-04 14:35
-
循环智能在2023全球数字经济大会斩获“大模型行业应用典型场景案例”等成果互联网 2023-07-04 14:27
-
中核海得威亮相2023深圳国际高性能医疗器械展互联网 2023-07-04 14:23
-
Taylor Swift | The Eras Tour新加坡站Klook7月7日中午12点开售环球新闻网 2023-07-04 14:18