Google Project Zero研究人员Felix Wilhelm 近日在Apache web服务器中发现了多个安全漏洞，分别是CVE-2020-9490、CVE-2020-11984和CVE-2020-11993。攻击者利用这些漏洞可以执行任意代码，在特定情境下还可以引发奔溃或拒绝服务攻击。

CVE-2020-11984

CVE-2020-11984 漏洞是mod_uwsgi 模块的缓冲区溢出引发的远程代码执行漏洞，攻击者利用该漏洞可以查看、修改和删除敏感数据，具体根据运行在服务器上的应用的权限决定。攻击者可以通过构造恶意请求来引发信息泄露或利用恶意进程环境中运行的服务器上的现有文件实现远程代码执行。

CVE-2020-11993

CVE-2020-11993 漏洞位于mod_http2 模块中，在启用调试时会被触发，引发日志记录语句记录在错误的连接上，最终由于并发日志池使用引发内存破坏。

CVE-2020-9490

CVE-2020-9490漏洞位于HTTP/2 模块，也是这3个漏洞中最严重的漏洞。攻击者可以通过构造Cache-Digest header来引发内存破坏，最终导致奔溃或DoS 攻击。

Cache Digest 是现在已经不在使用的web优化特征，通过允许服务器预先发送响应给客户端，客户端可以告知服务器其最新的缓存内容，这样就不会发送客户端缓存中已有的资源避免浪费带宽。

因此当在HTTP/2 请求的Cache-Digest header中注入伪造的值时，当服务器用该header 发送PUSH 包时，就会引发奔溃。

补丁

目前还没有发现这些漏洞的在野利用，但研究人员建议运行apache web服务器的用户尽快更新到最新的2.4.46 版本，以避免攻击者获得服务器的控制权限。

参考及来源：https://thehackernews.com/2020/08/apache-webserver-security.html