首頁 > 安全研究 > 安全通報 > 安全通告

Apache HTTP Server多個安全漏洞通告

發布時間 2020-08-11

0x00 漏洞概述



產品

CVE ID

類 型

漏洞等級

遠程利用

影響范圍

Apache HTTP Server

CVE-2020-9490

DOS

高危

Apache HTTP Server 2.4.20-2.4.43

CVE-2020-11984

BO

中危

Apache HTTP Server 2.4.32-2.4.43

CVE-2020-11993

DOS

中危

Apache HTTP Server 2.4.20-2.4.43


0x01 漏洞詳情



2020年8月7日,Apache官方發布安全公告,修復了Apache HTTP Server中的兩個拒絕服務漏洞(CVE-2020-9490/CVE-2020-11993)和一個緩沖區溢出漏洞(CVE-2020-11984),具體信息如下:

Apache HTTP Server HTTP/2拒絕服務漏洞(CVE-2020-9490)

該漏洞源于在HTTP/2請求中通過構造’Cache-Digest’值可造成服務崩潰,導致拒絕服務??膳R時修改“H2Push off”來緩解攻擊。

Apache HTTP Server HTTP/2緩沖區溢出漏洞(CVE-2020-11984)

mod_proxy_uwsgi是Apache的一個服務模塊,主要提供對uwsgi協議的支持。該漏洞源于mod_proxy_uwsgi中存在緩沖區溢出漏洞,可能導致信息泄露或遠程代碼執行。

Apache HTTP Server HTTP/2拒絕服務漏洞(CVE-2020-11993)

該漏洞源于Apache版本2.4.20至2.4.43為HTTP2模塊和某些流量邊緣模式啟用跟蹤/調試時,在錯誤的連接上執行了日志記錄語句,從而導致并發使用內存池,降低程序與操作系統的性能??膳R時在“info”上配置mod_http2的LogLevel來緩解攻擊。


0x02 處置建議


官方已發布最新版本,下載鏈接:

https://httpd.apache.org/download.cgi


0x03 相關新聞


https://www.tenable.com/plugins/nessus/139436


0x04 參考鏈接


https://httpd.apache.org/security/vulnerabilities_24.html


0x05 時間線


2020-08-07 Apache發布安全公告

2020-08-11 VSRC發布漏洞通告





上一篇 下一篇