云安详日报200810:Apache发明重要裂痕,必要尽快进级
Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页处事器,可以在大大都计较机操纵体系中运行,因为其多平台和安详性被普及行使,是最风行的Web处事器端软件之一。不外Apache于8月7日宣布了安详通告,Apache存在多个裂痕.以下是裂痕详情: 裂痕详情 来历:https://httpd.apache.org/security/vulnerabilities_24.html 1.mod_proxy_uwsgi缓冲区溢出 (CVE-2020-11984) mod_proxy是一个多协议署理/网关处事器,mod_proxy及其相干模块为Apache HTTP Server实现署理/网关,,支持很多风行的协议以及几种差异的负载均衡算法。 uwsgi是一个用于各类编程说话和协议,署理,流程打点器和监督器都行使通用的api和通用的设置样式实现。 mod_proxy_uwsgi是Apache的一个处事模块,首要提供对uwsgi协议的支持。mod_proxy_uwsgi处事模块呈现的裂痕,也许导致长途毗连呼吁/代码执行裂痕,可以或许让进攻者直接向靠山处事器长途写入处事器体系呼吁可能代码,从而节制靠山体系。 2.行使mod_remoteip和mod_rewrite署理时的IP地点诱骗 (CVE-2020-11985) mod_remoteip是Apache长途ip处理赏罚模块,用署理或负载均衡器通过哀求标头提供的用户署理IP地点列表替代用于毗连的原始客户端IP地点。 mod_rewrite是Apache的一个模块,此模块提供了一个基于正则表达式说明器的重写引擎来及时重写URL哀求。它支持每个完备法则可以拥有不限数目的子法则以及附加前提法则的机动并且强盛的URL操纵机制。 行使mod_remoteip和mod_rewrite举办署理时的IP地点诱骗对付行使mod_remoteip和某些mod_rewrite法则举办署理的设置,进攻者也许会通过诱骗其IP地点来记录日记和PHP剧本。(此题目已在Apache HTTP Server 2.4.24中修复.) 3.在特制的HTTP2标头上推送日记瓦解 (CVE-2020-11993) Apache为HTTP2模块和某些流量边沿模式启用跟踪/调试时,在错误的毗连上执行了日记记录语句,从而导致并发行使内存池,也许造成数据竞争,大量的内存碎片从而低落措施与操纵体系的机能。 4.在特制的HTTP/2标头上推送日记瓦解 (CVE-2020-9490) Apache实行对资源举办HTTP/2推送,则HTTP/2哀求中'Cache-Digest'标头的特制值将导致瓦解。 受影响产物 Apache HTTP Server版本2.4.32至2.4.43 办理方案 此题目已在Apache HTTP Server 2.4.44中修复
查察更多裂痕信息 以及进级请会见官网: https://httpd.apache.org/security/vulnerabilities_24.html (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |