|
【漏洞背景】 Apache近日披露了多个安全漏洞,其中最严重的漏洞可能导致任意执行代码、拒绝服务。 Apache HTTP Server可以运行在几乎所有计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。 【漏洞详情】 CVE-2020-11984,mod_proxy_uwsgi缓冲区溢出漏洞 mod_proxy_uwsgi缓冲区溢出漏洞,可能导致信息泄露或远程代码执行。 威胁等级:中等 影响版本:Apache HTTP Server 2.4.32-2.4.43 CVE-2020-11993,HTTP / 2拒绝服务漏洞 为HTTP / 2模块启用跟踪/调试模式时,错误的连接导致导致拒绝服务。 威胁等级:中等 影响版本:Apache HTTP Server版本2.4.20至2.4.43 CVE-2020-9490,HTTP / 2拒绝服务漏洞 在HTTP/2 请求中一个经过精心构造的’Cache-Digest’值可能会造成服务崩溃,最终导致拒绝服务。 威胁等级:重要 影响版本:Apache HTTP Server 2.4.20-2.4.43 【腾讯安全网络空间测绘数据】 据腾讯安全网络空间测绘数据,在全球有数千万Web服务器采用Apache HTTP Server。可能受漏洞影响的资产广泛分布于世界各地,中国大陆省份中,浙江、广东、山东、北京、上海等省市接近70%。
【安全版本】 Apache HTTP Server >= 2.4.46 【修复方案】 腾讯安全专家建议相关企业将Apache的版本升级到安全版本。 # emerge --sync # emerge --ask --oneshot --verbose ">=www-servers/apache-2.4.46" 【腾讯安全解决方案】 腾讯T-Sec主机安全(云镜)产品已支持检测云主机系统是否受Apache HTTP Server相关安全漏洞的影响。
【参考资料】 【时间线】 2020年8月7日,官方发布公告并修复 2020年8月10日,腾讯安全发布漏洞风险通告,腾讯安全产品全线支持漏洞检测及相关攻击防御。
| 
发表于 2020-8-11 14:03:42
