Apache被曝出存在3个安全漏洞
GoogleProjectZero研究人员FelixWilhelm最近在Apacheweb服务器中发现了一些安全漏洞,即CVE-2020-9490、CVE-2020-11984和CVE-2020-11993。攻击者可以利用这些漏洞来执行任意代码,并在特定的上下文中触发运行或拒绝服务攻击。
CVE-2020-11984
CVE-2020-11984漏洞是由mod_uwsgi模块缓冲区溢出引起的远程代码执行漏洞,攻击者可以利用该漏洞查看、修改和删除敏感数据,这取决于运行在服务器上的应用程序的权限。攻击者可以通过构造恶意请求或使用运行在恶意进程环境中的服务器上的现有文件来执行远程代码。
CVE-2020-11993
CVE-2020-11993漏洞位于mod_http 2模块中,并在启用调试时触发,导致日志语句记录在错误的连接上,并最终由于并发日志池的使用而导致内存损坏。
CVE-2020-9490
CVE-2020-9490漏洞位于HTTP/2模块中,是这三个漏洞中最严重的一个。攻击者可以通过构造Cache-Digestheader导致内存损坏,最终导致运行或DoS攻击。
CacheDigest是一种不再使用的Web优化功能。通过允许服务器提前向客户端发送响应,客户端可以将其最新的缓存内容通知服务器,这样客户端缓存中的现有资源就不会被发送以避免浪费带宽。
因此,当一个伪造的值被注入到HTTP/2请求的Cache-Digestheader中时,当服务器发送带有标头的Push数据包时,它会导致运行。
补丁
没有发现对这些漏洞的内部攻击,但研究人员建议用户尽快将apacheweb服务器更新到最新版本2.4.46,以防止攻击者控制服务器。
- 新迪天工®CAD V2023 R1 版本发布!4个超实用的增强功能请拿好
- 这一次,送上东方祝福 | JULEEJULEE茱俪「东方系列」珠宝相片盒发布
- 艺卓发布新一代24.1"USB-C连接的sRGB色彩管理显示器CS2400R
- NBA篮球盛宴震撼来袭,青瞳视觉为咪咕虚拟直播提供全流程服务助力打CALL!
- 美的工业技术旗下MOTINOVA亮相 EUROBIKE 2023
- 北京许昌搬家公司长途搬家公司上门打包装
- 宜宾黑石材+湛江黑+蒙古黑墓碑石材;墓碑石材是人类纪念死者
- 代尔塔DT115防静电限次型防化服-连体防护服
- 离心粒化技术在建筑材料生产中的应用与发展
- 高温杀菌锅做出的产品做出来的产品有哪些优势?
- 潜行创新打造尖端水下科技产品,全方位升级泳池清洁体验
- 舜云互联陆续中标西藏巨龙铜业全生命周期服务项目 开启全面合作新模式
- 全国政协委员、新疆维吾尔自治区人民政府参事刘明军一行再度参观考察那拉本源乳业
- 热烈欢迎新疆商务厅全疆考察团莅临新疆那拉本源乳业
- 首个茶水间评价标准发布,促进办公场景消费升级
- 代尔塔ALAINA级内置气密重型防化服-锦勇
- 高温杀菌锅主要用在哪些行业?通常在行业中的作用是什么?
- 赣州拖车救援24小时道路救援汽车搭电送油救援
- 如何选择中国SimexPUR-99控制器的总代理
- 高考结束,自驾川藏线旅游,探索西藏之美。自驾游拉萨
- 618战绩出炉!看家居品牌如何在今年消费大环境下脱颖而出?
- 意草草书创始人——赵文生
- 弘扬传统文化.振兴文化强国——徐瑞明
- 企业在选择和租赁钢材库厂房时应--注意的几个安全事项
- 中工集团名居尚品重钢别墅更需要团队的合作奋斗