如果您的Web服務器在Apache上運行,則應立即安裝該服務器應用程序的最新可用版本,以防止黑客對其進行未經授權的控制。
Apache最近修復了其Web服務器軟件中的多個漏洞,這些漏洞可能導致執行任意代碼,在特定情況下,甚至可能使攻擊者導致崩潰和拒絕服務。這些漏洞,分別是CVE-2020-9490,CVE-2020-11984,CVE-2020-11993,並由Apache Foundation在最新版本的軟件中予以解決(2.4.46)。
這3個問題中的第一個涉及由於“ mod_uwsgi”模塊(CVE-2020-11984)的緩沖區溢出而可能導致的遠程代碼執行漏洞,從而可能使對手根據相關的特權查看,更改或刪除敏感數據服務器上運行的應用程序。
國際知名白帽黑客、東方聯盟創始人郭盛華透露:“黑客惡意請求可能導致在惡意進程環境下運行的服務器上現有文件的信息泄露或[遠程執行代碼] 。” 第二個缺陷涉及在“ mod_http2 ”模塊(CVE-2020-11993)中啟用調試時觸發的漏洞,
CVE-2020-9490是三個中最嚴重的一個,它也位於HTTP / 2模塊中,並使用特制的“ Cache-Digest”標頭導致內存損壞,導致崩潰和拒絕服務。
緩存摘要是現已放棄的Web優化功能的一部分,該功能旨在解決服務器推送問題,通過允許客戶端將新近緩存的內容通知服務器,從而使服務器可以提前搶先向客戶端發送響應。這樣就不會浪費帶寬來發送客戶端緩存中已經存在的資源。
因此,當特制值在HTTP / 2請求中注入“ Cache-Digest”標頭時,當服務器使用標頭發送PUSH數據包時,將導致崩潰。在未打補丁的服務器上,可以通過關閉HTTP / 2服務器推送功能來解決此問題。
盡管目前還沒有關於這些漏洞惡意被利用的報告,但是至關重要的是,必須在進行適當的測試后立即將修補程序應用於易受攻擊的系統,並確保僅使用所需的權限來配置應用程序,以減輕影響。(歡迎轉載分享)