云安全日报200810:Apache发现重要漏洞,需要尽快升级
Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。不过Apache于8月7日发布了安全公告,Apache存在多个漏洞.以下是漏洞详情:
漏洞详情
来源:https://httpd.apache.org/security/vulnerabilities_24.html
1.mod_proxy_uwsgi缓冲区溢出 (CVE-2020-11984)
mod_proxy是一个多协议代理/网关服务器,mod_proxy及其相关模块为Apache HTTP Server实现代理/网关,支持许多流行的协议以及几种不同的负载平衡算法。
uwsgi是一个用于各种编程语言和协议,代理,流程管理器和监视器都使用通用的api和通用的配置样式实现。
mod_proxy_uwsgi是Apache的一个服务模块,主要提供对uwsgi协议的支持。mod_proxy_uwsgi服务模块出现的漏洞,可能导致远程连接命令/代码执行漏洞,能够让攻击者直接向后台服务器远程写入服务器系统命令或者代码,从而控制后台系统。
2.使用mod_remoteip和mod_rewrite代理时的IP地址欺骗 (CVE-2020-11985)
mod_remoteip是Apache远程ip处理模块,用代理或负载平衡器通过请求标头提供的用户代理IP地址列表替换用于连接的原始客户端IP地址。
mod_rewrite是Apache的一个模块,此模块提供了一个基于正则表达式分析器的重写引擎来实时重写URL请求。它支持每个完整规则可以拥有不限数量的子规则以及附加条件规则的灵活而且强大的URL操作机制。
使用mod_remoteip和mod_rewrite进行代理时的IP地址欺骗对于使用mod_remoteip和某些mod_rewrite规则进行代理的配置,攻击者可能会通过欺骗其IP地址来记录日志和PHP脚本。(此问题已在Apache HTTP Server 2.4.24中修复.)
3.在特制的HTTP2标头上推送日志崩溃 (CVE-2020-11993)
Apache为HTTP2模块和某些流量边缘模式启用跟踪/调试时,在错误的连接上执行了日志记录语句,从而导致并发使用内存池,可能造成数据竞争,大量的内存碎片从而降低程序与操作系统的性能。
4.在特制的HTTP/2标头上推送日志崩溃 (CVE-2020-9490)
Apache尝试对资源进行HTTP/2推送,则HTTP/2请求中'Cache-Digest'标头的特制值将导致崩溃。
受影响产品
Apache HTTP Server版本2.4.32至2.4.43
解决方案
此问题已在Apache HTTP Server 2.4.44中修复
查看更多漏洞信息 以及升级请访问官网:
https://httpd.apache.org/security/vulnerabilities_24.html