谷歌安全研究员发现3个 Apache Web 服务器软件缺陷
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
如你在Apache 运行 web 服务器,则应立即安装最新版本,以免黑客越权控制服务器。
Apache 最近修复了 web 服务器软件中的多个漏洞,它们本可导致任意代码执行后果,且在某些特定场景下,甚至可导致攻击者触发服务器崩溃和拒绝服务。
这些缺陷是 CVE-2020-9490、CVE-2020-11984和CVE-2020-11993,由谷歌 Project Zero 团队研究员 Felix Wihelm 发现,目前已在最新版本 (2.4.46) 中修复。
CVE-2020-11984是由“mod_uwsgi”模块中的缓冲区溢出造成的远程代码执行漏洞,可导致攻击者根据和在服务器上运行的应用相关的权限,查看、修改或删除敏感数据。Apache 基金会指出,“恶意请求可能导致在恶意进程环境下运行的服务器上的现有文件信息泄露或执行远程代码。”
当“mod_http2”模块中的调试功能启用时,就会触发漏洞CVE-2020-11993,从而导致在错误连接上记录语句,因日志池并发使用而导致内存损坏。
CVE-2020-9490 是其中最为严重的漏洞,也存在于 HTTP/2 模块中,它通过使用特殊构造的“Cache-Digest’标头触发内存损坏,从而造成崩溃和拒绝服务后果。
Cache Digist 是现已遭弃用的 web 优化功能,旨在通过服务器推送解决问题,可使服务器提前向客户端发送响应。服务器允许客户端通知其刷新的缓存内容,以便贷款不必浪费时间发送已位于客户端缓存中的资源。因此,当一个特别构造的值被注入 HTTP/2 请求中的’Cache-Digest’标头中时,它会在服务器通过标头发送 PUSH 数据包时触发崩溃。未修复的服务器可通过关闭 HTTP/2 服务器 push功能的方法解决该漏洞。
尽管目前尚未有证据表明这三个缺陷已遭在野利用,但应在正确测试后立即在易受攻击服务器应用补丁,并确保应用仅配置所需权限,以缓解该影响。
推荐阅读
开源框架 Apache Struts 2漏洞的 PoC 已公开
开源的无客户端桌面远程网关 Apache Guacamole 被曝多个严重漏洞,可导致 RCE
原文链接
https://thehackernews.com/2020/08/apache-webserver-security.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
谷歌安全研究员发现3个 Apache Web 服务器软件缺陷相关推荐
- 2021年大数据ELK(二十二):采集Apache Web服务器日志
全网最详细的大数据ELK文章系列,强烈建议收藏加关注! 新文章都已经列出历史文章目录,帮助大家回顾前面的知识重点. 目录 采集Apache Web服务器日志 一.需求 二.准备日志数据 三.使用Fil ...
- http隐藏服务器相关配置信息,apache web服务器安全配置
尽管现在购买的云服务器很多都有一键web环境安装包,但是如果是自己配置web环境则需要对各种安全配置十分了解,今天我们就来尝试这做好web服务器安全配置.这里的配置不尽完善,若有纰漏之处还望指出. 修 ...
- Linux下Apache Web服务器的安装与配置
1.Apache Web服务器简述 Web服务是目前Internet应用最流行.最受欢迎的服务之一,Linux平台使用最广泛的Web服务器是Apache,它是目前性能最优秀.最稳定的Web服务 ...
- Apache Web服务器资源使用限制配置
<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />以下内 ...
- Apache Web服务器访问控制机制全解析
Apache Web服务器访问控制机制全解析 原文请见: http://netsecurity.51cto.com/art/201102/245666.htm Linux下的Aapche服务器提供了强 ...
- 步骤详解安装Apache web服务器
1.在上右键è安装 安装后apache web服务器自动启动. 在右下角出现. Apache安装之后有一个默认的网站目录 在浏览器上通过网站就可以访问到该目录下的文件. 2.测试 在浏览器输上请求lo ...
- Linux下Tomcat与Apache Web服务器的整合
原文:http://os.51cto.com/art/200709/57327.htm ◆1.引言 基于Web技术的Internet/Intranet近年来已经得到了广泛的应用,Intranet是以T ...
- web服务器 apache_如何配置Apache Web服务器
web服务器 apache 我已经托管了自己的网站很多年了. 自从20年前从OS / 2切换到Linux以来,我一直使用Apache作为服务器软件. Apache是可靠的,众所周知的,并且对于基本 ...
- Apache WEB 服务器企业实战
万维网 (WORLD WIDE WEB,WWW)服务器,也称之为 WEB 服务器,主要功能 是提供网上信息浏览服务.WWW 是 Internet 的多媒体信息查询工具,是 Internet 上 飞快发 ...
最新文章
- 通过NSProxy来解决NSTimer使用不当造成内存泄漏的问题
- LeetCode: 105. Construct Binary Tree from Preorder and Inorder Traversal
- KeUserModeCallback用法详解
- 安装完python需要再安装编辑器-最好用的Python编辑器——Pycharm之安装与设置
- python自动化办公都能做什么菜-Python自动化开发学习之三级菜单制作
- Java--图片浏览器
- java500主键为空,java – JPA主键值始终为0
- 机器学习实战3--豆瓣读书简介
- EM算法应用:k均值聚类(k-means)和高斯混合模型(GMM)
- PWN-PRACTICE-CTFSHOW-2
- 字符串处理 —— 最大最小表示法
- cmw500综合测试仪使用_网络性能测试仪该怎么选
- 单片机tcp异常处理_TCP三次握手、四次挥手出现意外情况时,为保证稳定,是如何处理的...
- 【2020.2.29更新】高通蓝牙芯片QCC3003,QCC3008 学习视频教材
- python中pass语句学习
- 微机原理是微型计算机与接口技术吗,《微机原理与接口技术》课程教学大纲
- 数据库mysql表常见字段大小_常用数据库的字段类型及大小
- 过计算机管理共享文件夹,局域网中怎么查看自己共享过的文件
- 牛客网视频总结5(二叉树)
- 17种Vue适用于移动端的ui框架
热门文章
- input 文本框和 img 验证码对齐问题
- 框架学习之Spring 第四节 Spring集成JDBC组件开发
- 《天风文章》 V1.1.0设计文档
- Hibernate中的命名SQL查询
- 【three.js详解之一】入门篇
- centos LAMP菜鸟搭建过程
- 不用IIS跑.net web应用
- 2018计算机专业考研34所,2018考研:计算机专业全球院校排名公布,上海交通大学竟排第一?...
- HBase优化案例分析:Facebook Messages系统问题与解决方案
- Android 模拟器 GPU ON