Новости В Apache Web Server исправлены опасные уязвимости

Ахилл

Профессионал
Ветеран пробива
Private Club
Старожил
️Платиновый меценат💰️💰️💰️💰️
Регистрация
27/7/18
Сообщения
3.851
Репутация
15.531
Реакции
23.722
RUB
0
Сделок через гаранта
16
Уязвимости предоставляют возможность выполнить произвольный код или вызвать отказ в обслуживании web-сервера.

Apache Foundation выпустила версию Apache Web Server 2.4.46, исправляющую три уязвимости ( ), предоставляющие возможность выполнить произвольный код или вызвать отказ в обслуживании web-сервера.

Как эксперт Google Project Zero Феликс Вильхельм (Felix Wilhelm), проблема связана с функцией push diary в модуле mod_http2, отслеживающей ресурсы, отправленные через подключение по HTTP/2, в частности, с некорректным парсингом параметров, что может привести к повреждению памяти.

Наиболее опасная уязвимость (CVE-2020-9490) содержится в модуле HTTP/2. Атакующий может спровоцировать повреждение памяти путем отправки специально сформированного заголовка ‘Cache-Digest’, что приведет к отказу в обслуживании.

Вторая проблема (CVE-2020-11984) представляет собой уязвимость переполнения буфера в модуле mod_uwsgi. С ее помощью атакующий сможет выполнить произвольный код и просматривать, изменять или удалять важные данные в зависимости от привилегий приложения, работающего на сервере.

Что касается третьей уязвимости (CVE-2020-11993), ее можно проэксплуатировать лишь в том случае, если в модуле mod_http2 включен режим отладки.

В настоящее время нет сведений о случаях эксплуатации вышеперечисленных уязвимостей в реальных атаках. Тем не менее, администраторам рекомендуется установить обновление как можно скорее.
 
Сверху Снизу