1
漏洞背景
Apache HTTP Server发现多个中、高危漏洞,其中最严重的漏洞可能导致任意代码执行、拒绝服务。
Apache HTTP Server可以运行在几乎所有计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
2
漏洞详情
CVE-2020-11984,mod_proxy_uwsgi缓冲区溢出漏洞
mod_proxy_uwsgi缓冲区溢出漏洞,可能导致信息泄露或远程代码执行。
威胁等级:中等
影响版本:Apache HTTP Server 2.4.32-2.4.43
CVE-2020-11993,HTTP / 2拒绝服务漏洞
为HTTP/ 2模块启用跟踪/调试模式时,错误的连接导致拒绝服务。
威胁等级:中等
影响版本:Apache HTTP Server 2.4.20-2.4.43
CVE-2020-9490,HTTP / 2拒绝服务漏洞
在HTTP/2请求中一个经过精心构造的’Cache-Digest’值可能会造成服务崩溃最终导致拒绝服务。
威胁等级:重要
影响版本:Apache HTTP Server 2.4.20-2.4.43
3
安全版本
Apache HTTP Server >= 2.4.46
4
腾讯安全网络空间测绘数据
据腾讯安全网络空间测绘数据,在全球有数千万Web服务器采用Apache HTTP Server。受该组件漏洞影响的资产广泛分布于世界各地,在中国大陆,浙江、广东、山东、北京、上海等省市占比接近70%。
5
漏洞修复方案
腾讯安全专家建议相关企业尽快将Apache HTTP Server升级到安全版本。下载链接:https://httpd.apache.org/download.cgi
# emerge --sync
# emerge --ask --oneshot --verbose">=www-servers/apache-2.4.46"
腾讯安全专家建议修复漏洞前做好备份及测试工作,以防意外发生。
6
腾讯安全解决方案
1)腾讯T-Sec主机安全(云镜)产品已支持检测云主机系统是否受Apache HTTP Server相关安全漏洞的影响。
腾讯T-Sec主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于腾讯T-Sec主机安全的更多信息,可长按识别以下二维码查阅。
参考链接
https://httpd.apache.org/security/vulnerabilities_24.html
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论