В Apache Web Server исправлены опасные уязвимости

В Apache Web Server исправлены опасные уязвимости

Уязвимости предоставляют возможность выполнить произвольный код или вызвать отказ в обслуживании web-сервера.

Apache Foundation выпустила версию Apache Web Server 2.4.46, исправляющую три уязвимости ( CVE-2020-9490, CVE-2020-11984, CVE-2020-11993 ), предоставляющие возможность выполнить произвольный код или вызвать отказ в обслуживании web-сервера.

Как пояснил эксперт Google Project Zero Феликс Вильхельм (Felix Wilhelm), проблема связана с функцией push diary в модуле mod_http2, отслеживающей ресурсы, отправленные через подключение по HTTP/2, в частности, с некорректным парсингом параметров, что может привести к повреждению памяти.

Наиболее опасная уязвимость (CVE-2020-9490) содержится в модуле HTTP/2. Атакующий может спровоцировать повреждение памяти путем отправки специально сформированного заголовка ‘Cache-Digest’, что приведет к отказу в обслуживании.

Вторая проблема (CVE-2020-11984) представляет собой уязвимость переполнения буфера в модуле mod_uwsgi. С ее помощью атакующий сможет выполнить произвольный код и просматривать, изменять или удалять важные данные в зависимости от привилегий приложения, работающего на сервере.

Что касается третьей уязвимости (CVE-2020-11993), ее можно проэксплуатировать лишь в том случае, если в модуле mod_http2 включен режим отладки.

В настоящее время нет сведений о случаях эксплуатации вышеперечисленных уязвимостей в реальных атаках. Тем не менее, администраторам рекомендуется установить обновление как можно скорее.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!