В Apache Web Server исправлены опасные уязвимости

Apache Foundation выпустила версию Apache Web Server 2.4.46, исправляющую три уязвимости ( CVE-2020-9490, CVE-2020-11984, CVE-2020-11993 ), предоставляющие возможность выполнить произвольный код или вызвать отказ в обслуживании web-сервера.

Как пояснил эксперт Google Project Zero Феликс Вильхельм (Felix Wilhelm), проблема связана с функцией push diary в модуле mod_http2, отслеживающей ресурсы, отправленные через подключение по HTTP/2, в частности, с некорректным парсингом параметров, что может привести к повреждению памяти.

Наиболее опасная уязвимость (CVE-2020-9490) содержится в модуле HTTP/2. Атакующий может спровоцировать повреждение памяти путем отправки специально сформированного заголовка ‘Cache-Digest’, что приведет к отказу в обслуживании.

Вторая проблема (CVE-2020-11984) представляет собой уязвимость переполнения буфера в модуле mod_uwsgi. С ее помощью атакующий сможет выполнить произвольный код и просматривать, изменять или удалять важные данные в зависимости от привилегий приложения, работающего на сервере.

Что касается третьей уязвимости (CVE-2020-11993), ее можно проэксплуатировать лишь в том случае, если в модуле mod_http2 включен режим отладки.

В настоящее время нет сведений о случаях эксплуатации вышеперечисленных уязвимостей в реальных атаках. Тем не менее, администраторам рекомендуется установить обновление как можно скорее.