-
-
[原创]Apache HTTP Server披露多个安全漏洞,腾讯主机安全支持检测
-
发表于: 2020-8-11 14:03
-
【漏洞背景】
Apache近日披露了多个安全漏洞,其中最严重的漏洞可能导致任意执行代码、拒绝服务。
Apache HTTP Server可以运行在几乎所有计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
【漏洞详情】
CVE-2020-11984,mod_proxy_uwsgi缓冲区溢出漏洞
mod_proxy_uwsgi缓冲区溢出漏洞,可能导致信息泄露或远程代码执行。
威胁等级:中等
影响版本:Apache HTTP Server 2.4.32-2.4.43
CVE-2020-11993,HTTP / 2拒绝服务漏洞
为HTTP / 2模块启用跟踪/调试模式时,错误的连接导致导致拒绝服务。
威胁等级:中等
影响版本:Apache HTTP Server版本2.4.20至2.4.43
CVE-2020-9490,HTTP / 2拒绝服务漏洞
在HTTP/2 请求中一个经过精心构造的’Cache-Digest’值可能会造成服务崩溃,最终导致拒绝服务。
威胁等级:重要
影响版本:Apache HTTP Server 2.4.20-2.4.43
【腾讯安全网络空间测绘数据】
据腾讯安全网络空间测绘数据,在全球有数千万Web服务器采用Apache HTTP Server。可能受漏洞影响的资产广泛分布于世界各地,中国大陆省份中,浙江、广东、山东、北京、上海等省市接近70%。
【安全版本】
Apache HTTP Server >= 2.4.46
【修复方案】
腾讯安全专家建议相关企业将Apache的版本升级到安全版本。
#emerge --sync
#emerge --ask --oneshot --verbose ">=www-servers/apache-2.4.46"
【腾讯安全解决方案】
腾讯T-Sec主机安全(云镜)产品已支持检测云主机系统是否受Apache HTTP Server相关安全漏洞的影响。
腾讯T-Sec主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于腾讯T-Sec主机安全的更多信息,可参考:e99K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0L8r3!0#2k6q4)9J5k6i4c8W2L8X3y4W2L8Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6H3M7X3!0V1N6h3y4@1i4K6u0r3j5%4N6H3
【参考资料】
5d1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5N6s2c8H3k6q4)9J5k6h3q4H3j5h3y4Z5k6g2)9J5k6h3!0J5k6#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3N6Y4g2D9L8X3g2J5j5h3u0A6L8r3W2@1K9h3g2K6i4K6g2X3x3U0c8Q4x3X3g2Z5N6r3#2D9
【时间线】
2020年8月7日,官方发布公告并修复
2020年8月10日,腾讯安全发布漏洞风险通告,腾讯安全产品全线支持漏洞检测及相关攻击防御。
|
|
|---|---|
