如果您的Web服务器在Apache上运行,则应立即安装该服务器应用程序的最新可用版本,以防止黑客对其进行未经授权的控制。
Apache最近修复了其Web服务器软件中的多个漏洞,这些漏洞可能导致执行任意代码,在特定情况下,甚至可能使攻击者导致崩溃和拒绝服务。这些漏洞,分别是CVE-2020-9490,CVE-2020-11984,CVE-2020-11993,并由Apache Foundation在最新版本的软件中予以解决(2.4.46)。
这3个问题中的第一个涉及由于“ mod_uwsgi”模块(CVE-2020-11984)的缓冲区溢出而可能导致的远程代码执行漏洞,从而可能使对手根据相关的特权查看,更改或删除敏感数据服务器上运行的应用程序。
国际知名白帽黑客、东方联盟创始人郭盛华透露:“黑客恶意请求可能导致在恶意进程环境下运行的服务器上现有文件的信息泄露或[远程执行代码] 。” 第二个缺陷涉及在“ mod_http2 ”模块(CVE-2020-11993)中启用调试时触发的漏洞,
CVE-2020-9490是三个中最严重的一个,它也位于HTTP / 2模块中,并使用特制的“ Cache-Digest”标头导致内存损坏,导致崩溃和拒绝服务。
缓存摘要是现已放弃的Web优化功能的一部分,该功能旨在解决服务器推送问题,通过允许客户端将新近缓存的内容通知服务器,从而使服务器可以提前抢先向客户端发送响应。这样就不会浪费带宽来发送客户端缓存中已经存在的资源。
因此,当特制值在HTTP / 2请求中注入“ Cache-Digest”标头时,当服务器使用标头发送PUSH数据包时,将导致崩溃。在未打补丁的服务器上,可以通过关闭HTTP / 2服务器推送功能来解决此问题。
尽管目前还没有关于这些漏洞恶意被利用的报告,但是至关重要的是,必须在进行适当的测试后立即将修补程序应用于易受攻击的系统,并确保仅使用所需的权限来配置应用程序,以减轻影响。(欢迎转载分享)