【安全通告】Apache服务多个安全漏洞风险通告
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Google Project Zero 团队近期披露了 Apache 服务存在三个安全漏洞,漏洞编号分别为:CVE-2020-9490、CVE-2020-11984 和 CVE-2020-11993,漏洞被利用可导致 DoS 或任意代码执行。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
CVE-2020-11984:该漏洞为缓冲区溢出漏洞,影响 mod uwsgi 模块,漏洞被利用可导致远程代码执行。该漏洞风险较高,CVSS 评分 9.8 分。
CVE-2020-9490:该漏洞为 HTTP/2 中的 DoS 漏洞,攻击者可以通过发送特殊构造的缓存摘要头,导致 Web 应用 DoS。
CVE-2020-11993:该漏洞只有在 mod_http2 模块中启用调试时才能利用,漏洞被利用可能导致 DoS。
风险等级
中风险
漏洞风险
漏洞被利用可导致 DoS 或任意代码执行。
影响版本
CVE-2020-9490:
Apache HTTP Server 2.4.43、2.4.39、2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20
CVE-2020-11984:
Apache HTTP Server 2.4.39、2.4.38、2.4.37、2.4.35、2.4.34、2.4.33
CVE-2020-11993:
Apache HTTP Server 2.4.43、2.4.39、2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20
安全版本
Apache httpd 2.4.44 或更高版本
修复建议
1)官方已发布漏洞修复版本,检查您的 Apache 服务是否在受影响版本范围。下载链接:https://httpd.apache.org/download.cgi
2)如受影响,请你选择合理时间进行升级操作,升级到修复版本,避免影响业务。
漏洞参考
