如果您的Web伺服器在Apache上運作,則應立即安裝該伺服器應用程式的最新可用版本,以防止黑客對其進行未經授權的控制。
Apache最近修複了其Web伺服器軟體中的多個漏洞,這些漏洞可能導緻執行任意代碼,在特定情況下,甚至可能使攻擊者導緻崩潰和拒絕服務。這些漏洞,分别是CVE-2020-9490,CVE-2020-11984,CVE-2020-11993,并由Apache Foundation在最新版本的軟體中予以解決(2.4.46)。
這3個問題中的第一個涉及由于“ mod_uwsgi”子產品(CVE-2020-11984)的緩沖區溢出而可能導緻的遠端代碼執行漏洞,進而可能使對手根據相關的特權檢視,更改或删除敏感資料伺服器上運作的應用程式。
國際知名白帽黑客、東方聯盟創始人郭盛華透露:“黑客惡意請求可能導緻在惡意程序環境下運作的伺服器上現有檔案的資訊洩露或[遠端執行代碼] 。” 第二個缺陷涉及在“ mod_http2 ”子產品(CVE-2020-11993)中啟用調試時觸發的漏洞,
CVE-2020-9490是三個中最嚴重的一個,它也位于HTTP / 2子產品中,并使用特制的“ Cache-Digest”标頭導緻記憶體損壞,導緻崩潰和拒絕服務。
緩存摘要是現已放棄的Web優化功能的一部分,該功能旨在解決伺服器推送問題,通過允許用戶端将新近緩存的内容通知伺服器,進而使伺服器可以提前搶先向用戶端發送響應。這樣就不會浪費帶寬來發送用戶端緩存中已經存在的資源。
是以,當特制值在HTTP / 2請求中注入“ Cache-Digest”标頭時,當伺服器使用标頭發送PUSH資料包時,将導緻崩潰。在未打更新檔的伺服器上,可以通過關閉HTTP / 2伺服器推送功能來解決此問題。
盡管目前還沒有關于這些漏洞惡意被利用的報告,但是至關重要的是,必須在進行适當的測試後立即将修補程式應用于易受攻擊的系統,并確定僅使用所需的權限來配置應用程式,以減輕影響。(歡迎轉載分享)
![郭盛華:黑客使用社會工程學進行欺騙的3種方式[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)